Aller au contenu
rat-du-net

Sessions et les sous domaine

Noter ce sujet :

Recommended Posts

Bonjour,

est il possible de garder une session meme en changeant de sous domaine ?

Par exemple, on ouvre une session sur www.exemple.com et les informations de cette session sont disponibles meme si on se trouve sur test1.exemple.com

Partager ce message


Lien à poster
Partager sur d’autres sites

ok, mais cette solution ne pose pas de probleme de securité si dans ma session je stocke le user_id du membre.

Un membre de peux pas se faire passer pour un autre en modifiant son cookie tout simplement ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour plus de sécurité, tu stockes également un hash (md5, par exemple) du mot de passe de l'utilisateur dans le cookie (Mais il faut que ce mot de passe soit également haché en base)

Partager ce message


Lien à poster
Partager sur d’autres sites

En cas d'attaque xss, il y a fort à parier que l'utilisateur d'un des sous-domaine puisse récupérer les valeurs des cookies d'un utilisateur loggué par un autre sous-domaine. Il sera alors relativement facile de s'identifier à la place de l'autre.

Il faut peut etre aussi désactiver le phpsessid dans les urls pour plus de sécurité.

Partager ce message


Lien à poster
Partager sur d’autres sites
ok, mais cette solution ne pose pas de probleme de securité si dans ma session je stocke le user_id du membre.

Un membre de peux pas se faire passer pour un autre en modifiant son cookie tout simplement ?

le problème de sécurité que tu évoques est indépendant des sous-domaines et existe même sur un site "basique"..

Partager ce message


Lien à poster
Partager sur d’autres sites
le problème de sécurité que tu évoques est indépendant des sous-domaines et existe même sur un site "basique"..

oui, mais sur un site "classique", je n'utilise pas les cookies pour stocker les variables de session.

Donc a part utiliser les cookies, il n'y a pas de solution ?

Partager ce message


Lien à poster
Partager sur d’autres sites

Sur un site classique, avec des sessions, tu utilises forcément les cookies non ? A moins de passer l'identifiant dans l'url, ce qui est encore plus simple à récupérer.

Ou alors tu as une autre méthode ? Si oui, je suis curieux :)

Je vois une autre méthode, en y pensant, en logguant les ips et en se basant sur les ips pour déterminer l'identification, mais c'est pas très sécurisé puisqu'on peut spoofer les ips.

Partager ce message


Lien à poster
Partager sur d’autres sites

ben j'utilise les sessions normal donc les infos de sessions sont stoqué sur le serveur et pas sur le client.

je parle bien de session servant pendant la navigation d'un membre.

Pas du cookie pour se connecter automatiquement ou la effectivement j'utilise un cookie avec l'id, et le mot de passe hashé en md5 auquel je concatene une chaine et que je re hash apres.

Pour les ips, j'y ai egalement pensé mais dans le cas des utilisateur d'aol, sa poserait des problemes deja dans un premier temps sans meme parler de spoofing

Partager ce message


Lien à poster
Partager sur d’autres sites

Pour eviter les session/cookie hijacking on peux ajouter un hash (md5) du HTTP_USER_AGENT

Plus d'infos (en anglais) ici:

-http://shiflett.org/articles/the-truth-about-sessions

Partager ce message


Lien à poster
Partager sur d’autres sites

En fait quand tu utilises une session php normale, il y a : soit l'identifiant qui se balade dans les urls, soit un cookies avec cette identifiant. Donc tu utilises forcément les cookies, à moins de te trimballer les identifiants ^^

L'identifiant stocké dans le cookies ne sert qu'à savoir quelle est la session du serveur à interroger. Les variables un petit peu sensibles, on les stocke dans la session bien entendu :)

Modifié par nalrem

Partager ce message


Lien à poster
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant

×