faille de sécurité
Fur.
Membre du projet
Scout Web Portail
C'est encore moi... Je viens de trouvé une faille....
Un animateur m'a demandé de changer son mot de passe... Chose que j'ai fait via mes droits webmaster.
Et puis, en se rendant sur le site, il a directement eu accès au site sous son pseudo...
Apparemment, meme en changeant le mot de passe, le cookie continu à fonctionner...
C'est pas un faille très grave, mais tout de meme, si c'est des animateurs et si le cookie se balade, on peut avoir accès à pas mal de données, et à de possibilité de foutre le brun...
Posté le 16/09/2009 à 23:08:24
Re : faille de sécurité
ChMat
Webmaster
Salut Fur.
En réalité, ce n'est pas une faille de sécurité. En effet, si tu modifies le niveau d'accès de l'utilisateur au site, voire même si tu bannis son compte, le changement se reflète instantanément dans la connexion de l'utilisateur dès la page vue suivante.
Le cookie reste effectivement valide mais il ne contient qu'une clé aléatoire permettant de faire le lien avec le compte utilisateur. Le cookie ne contient donc aucune information personnelle liée à l'utilisateur. La valeur aléatoire est différente à chaque fois que l'utilisateur s'identifie sur le site via le formulaire de connexion.
La gestion des connexions avait été développée avant que je ne découvre les sessions PHP, nettement plus pratiques que les cookies.
Ceci étant, la connexion est normalement possible même si tu bloques les cookies.
L'identification repose sur l'adresse IP, le modèle d'ordinateur et une série de paramètres liés au navigateur.
Un même utilisateur ne peut être connecté au site que sur une seule machine à la fois (en fait, sur un seul navigateur à la fois). Toute connexion d'un côté invalide instantanément l'ensemble des autres connexions éventuelles de ce même utilisateur.
Posté le 09/11/2009 à 23:30:33