[rat-du-net]

Bonjour,

est il possible de garder une session meme en changeant de sous domaine ?

Par exemple, on ouvre une session sur www.exemple.com et les informations de cette session sont disponibles meme si on se trouve sur test1.exemple.com

[nalrem]

Hello

en php :
ini_set('session.cookie_domain', '.example.org');
ini_set('session.use_cookies',1);

[rat-du-net]

ok, mais cette solution ne pose pas de probleme de securité si dans ma session je stocke le user_id du membre.

Un membre de peux pas se faire passer pour un autre en modifiant son cookie tout simplement ?

[captain_torche]

Pour plus de sécurité, tu stockes également un hash (md5, par exemple) du mot de passe de l'utilisateur dans le cookie (Mais il faut que ce mot de passe soit également haché en base)

[nalrem]

En cas d'attaque xss, il y a fort à parier que l'utilisateur d'un des sous-domaine puisse récupérer les valeurs des cookies d'un utilisateur loggué par un autre sous-domaine. Il sera alors relativement facile de s'identifier à la place de l'autre.

Il faut peut etre aussi désactiver le phpsessid dans les urls pour plus de sécurité.

[georges]

rat-du-net, le vendredi 17 novembre 2006, 14h59, a dit :

ok, mais cette solution ne pose pas de probleme de securité si dans ma session je stocke le user_id du membre.

Un membre de peux pas se faire passer pour un autre en modifiant son cookie tout simplement ?

le problème de sécurité que tu évoques est indépendant des sous-domaines et existe même sur un site "basique"..

[rat-du-net]

georges, le vendredi 17 novembre 2006, 16h51, a dit :

le problème de sécurité que tu évoques est indépendant des sous-domaines et existe même sur un site "basique"..

oui, mais sur un site "classique", je n'utilise pas les cookies pour stocker les variables de session.

Donc a part utiliser les cookies, il n'y a pas de solution ?

[nalrem]

Sur un site classique, avec des sessions, tu utilises forcément les cookies non ? A moins de passer l'identifiant dans l'url, ce qui est encore plus simple à récupérer.
Ou alors tu as une autre méthode ? Si oui, je suis curieux

Je vois une autre méthode, en y pensant, en logguant les ips et en se basant sur les ips pour déterminer l'identification, mais c'est pas très sécurisé puisqu'on peut spoofer les ips.

[rat-du-net]

ben j'utilise les sessions normal donc les infos de sessions sont stoqué sur le serveur et pas sur le client.
je parle bien de session servant pendant la navigation d'un membre.
Pas du cookie pour se connecter automatiquement ou la effectivement j'utilise un cookie avec l'id, et le mot de passe hashé en md5 auquel je concatene une chaine et que je re hash apres.

Pour les ips, j'y ai egalement pensé mais dans le cas des utilisateur d'aol, sa poserait des problemes deja dans un premier temps sans meme parler de spoofing

[spoutniknak]

Pour eviter les session/cookie hijacking on peux ajouter un hash (md5) du HTTP_USER_AGENT

Plus d'infos (en anglais) ici:
-http://shiflett.org/articles/the-truth-about-sessions

[nalrem]

En fait quand tu utilises une session php normale, il y a : soit l'identifiant qui se balade dans les urls, soit un cookies avec cette identifiant. Donc tu utilises forcément les cookies, à moins de te trimballer les identifiants ^^
L'identifiant stocké dans le cookies ne sert qu'à savoir quelle est la session du serveur à interroger. Les variables un petit peu sensibles, on les stocke dans la session bien entendu

Ce message a été modifié par nalrem : 17 novembre 2006 - 20:23