logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Developpement - Mod / addon >> Gestion des sessions Newtopic | Reply
poster txt
Jockoz
Inscrit le 27-04-2002
Posté le 25-07-2006 23:19

Salut,

vu qu'apparement Zamer a l'air plongé dans le code de forumfr, je me demandais s'il ne voudrait pas regarder un peu le système des sessions
Pourquoi ? Tout simplement parce que l'id de session circule dans l'url, et ca peut être exploitable par plusieurs façons (même si aucune n'est vraiment efficace c'est toujours un risque aussi minime soit-il !)

Par exemple, si un membre se créé un faux avatar généré par php ou un quelconque cgi, il peut récupérer le referer et donc l'id de session de toutes les personnes connectées.
Rien à faire avec ca seulement, mais si un des admins passe par un proxy public, alors en se connectant à newffr via ce même proxy et en utilisant l'id de session récupéré il peut exécuter n'importe quel script avec les droits de l'utilisateur à qui appartient la session
Le vol en lui-même serait transparent, par contre c'est sûr que ca ferait beaucoup de tests de connexion pour le serveur hébergeant l'avatar et ces tentatives pourrait rapidement paraître bizarre pour les admins/membres à cause de leur firewall par exemple, mais ca reste réalisable quoi

Ou il est possible aussi de voler une session en invitant un admin ou modo via un message privé à aller sur un site web externe où on y cacherait l'exécution d'un script

Donc c'est clair que les risques ne sont pas énormes et l'exploitation un peu bancale, mais autant écarter tous les risques ne serait-ce déjà que pour les gens qui voudraient utiliser le forum autre part que sur newffr et qui n'aurait pas forcément les compétences pour éviter ces vols de session.

Après pour la solution, ben déjà vous pourriez utiliser la fonction session_regenerate_id(); mais ca fait beaucoup de réplication de données, ou alors faudrait la réserver seulement pour les sessions des personnes loggées...
Par contre pour qu'elle est de l'utilité il faudrait que l'ancienne session soit effacée, et ca ce n'est directement possible que depuis php 5.10 alors c'est pas vraiment idéal...

Donc je ne sais pas pas trop qu'elle est la solution idéale, avec ssl, ou encore en revenant un système de session par cookies (mais ca demanderait surement pas mal de modifs et ca serait plus intéressant de trouver autre chose ), autre, qu'en pensez-vous ?

PS : j'ai fait beaucoup de suppositions parce que je n'ai pas testé grand chose, peut être ai-je dis des conneries

[ Ce Message a été édité par: Jockoz le 2006-07-25 23:22 ]
profil | edit | quote
Zamer
Inscrit le 11-01-2002
Posté le 26-07-2006 10:59

Quote:

Le 25-07-2006 23:19, Jockoz a écrit :
___________________________________________________
Salut,

vu qu'apparement Zamer a l'air plongé dans le code de forumfr, je me demandais s'il ne voudrait pas regarder un peu le système des sessions



Salut, tu n'as pas tord, j'ai effectivement corrigé quelques trucs y'a qques jours, là j'ai de moins en moins le temps ( ).

Pour ta requête, je sais bien que récupérer la session_id est un jeu d'enfant, par ailleurs on peut aussi voler les cookies (j'ai en tête une faille qui va bientôt être corrigée ).

Comme tu l'as dit, il faut que l'IP corresponde, donc qu'un admin passe par un proxy publique (ou encore qu'une box de son LAN soit owned). Je ne pense pas que des admins passent par des proxy publiques, ou ponctuellement alors.

Si des membres le font régulièrement, il se peut en effet qu'il se fassent usurper l'instant de quelques minutes (mais pas de possibilité de toucher au mdp). Le risque est plutôt minime, donc je considère pas que ça vaille la peine d'alourdir quoi que ce soit

Par contre, si tu as une solution légère et efficace pour contrer ça, pourquoi pas
profil | Website | MSN | edit | quote
Jockoz
Inscrit le 27-04-2002
Posté le 29-07-2006 10:40

Ok, justement je ne voyais pas de solution légère et vite implémentable pour contourner le problème (et je n'ai pas trop regarder le code de forumfr), alors j'étais moi aussi en attente de cette solution

Tant pis pour l'instant
profil | edit | quote
solo
Inscrit le 01-12-2005
Posté le 30-07-2006 02:15

[hors sujet]
est-ce que les mods sont inclus dans la version download du site/forum
la version a dl en bas de la page
[/hors sujet]
_________________________

profil | edit | quote
Chronos
Inscrit le 10-05-2005
Posté le 30-07-2006 13:12

Qu'entends-tu par mods ?
profil | edit | quote
Zamer
Inscrit le 11-01-2002
Posté le 30-07-2006 15:53

Si ce sont les modifictions, => NON
profil | Website | MSN | edit | quote
solo
Inscrit le 01-12-2005
Posté le 03-08-2006 01:13

Zut! je viens de remarquer qu'il y en a 2 en bas de la page, le projet de sourceforge et celui d'ici ,les 2 ne sont pas a jour ou....
_________________________

profil | edit | quote
Zamer
Inscrit le 11-01-2002
Posté le 03-08-2006 13:12

La version sur sourceforge n'est pas (du tout) à jour.
profil | Website | MSN | edit | quote
Chronos
Inscrit le 10-05-2005
Posté le 03-08-2006 19:46

Et l'archive sources/forumfr.tgz est corrompue...
profil | edit | quote
Newtopic | Reply

Online : aromuzeyd, ayomutesimlus, ecaimemavitu, iguvahozofami, okoakot, ucofejaoziyi et 86 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page