[PHP] Cookies, securité ?

Cookies, securité ? [PHP] - PHP - Programmation

Marsh Posté le 08-04-2003 à 22:39:16    

Kikoo tlm,
en lisant différents topics j'ai vu qu'on deconseillait l'utilisation des cookies pour la securité...
j'ai un site qui créé un cookie qui comporte votre login quand vous vous loggez, alors je me demandais si il etait possible de changer ce login juste en editant le cookie
g essayé mais ca marche pas , alors je vois pas ou est la faille de securité ?
dites moi comment et dites moi comment leviter g peur :)
merci

Reply

Marsh Posté le 08-04-2003 à 22:39:16   

Reply

Marsh Posté le 08-04-2003 à 22:55:13    

allez remonte en haut de la liste petit topic :)
et vous repondez plz  :whistle:

Reply

Marsh Posté le 08-04-2003 à 23:09:08    

la fiabilité et la sécu n'est pas garantie :
- il y a moyen de modifier les infos dans les cookies (j'y suis pas trop arrivé non plus, mais ça doit être faisable)
 
- sur un ordinateur public, tout le monde sait consulter le contenu des cookies
 
- avec les failles de cross scripting (css), on sait envoyer le contenu d'un cookie sur le site de qq d'autre qui sait le récupérer.
 
c'est pour ces 3 raisons que l'on déconseille l'usage des cookies pour des données sensibles ou qui pourrait l'être.
ex :  
- un cookie qui contient la langue (jusque là c'est ok)
- dans le code on reprend la langue et inclu le nom de la langue
include ($HTTP_COOKIE_VARS['lg']); //là ça va plus...
si un petit malin s'amuse à modifier la langue en 'http://site.com/scriptméchant', ton serveur va inclure et exécuter son script...


---------------
...oups kernel error...
Reply

Marsh Posté le 08-04-2003 à 23:09:19    

orazur a écrit :

Kikoo tlm,
dites moi comment leviter g peur :)
merci


 
fermer les yeux et croiser les jambes ... seule technique efficace que je connaisse  [:spamafote]


---------------
from here and there -- \o__________________________________ -- la révolution de la terre, en silence
Reply

Marsh Posté le 08-04-2003 à 23:13:25    

ethernal a écrit :

la fiabilité et la sécu n'est pas garantie :
- il y a moyen de modifier les infos dans les cookies (j'y suis pas trop arrivé non plus, mais ça doit être faisable)
 
- sur un ordinateur public, tout le monde sait consulter le contenu des cookies
 
- avec les failles de cross scripting (css), on sait envoyer le contenu d'un cookie sur le site de qq d'autre qui sait le récupérer.
 
c'est pour ces 3 raisons que l'on déconseille l'usage des cookies pour des données sensibles ou qui pourrait l'être.
ex :  
- un cookie qui contient la langue (jusque là c'est ok)
- dans le code on reprend la langue et inclu le nom de la langue
include ($HTTP_COOKIE_VARS['lg']); //là ça va plus...
si un petit malin s'amuse à modifier la langue en 'http://site.com/scriptméchant', ton serveur va inclure et exécuter son script...
 


merci merci
jaimerais avoir plus d'informations sur le cross cripting ?
tu peux mexpliker le principe avec un ptit exemple ?
merci je vais faire ce que tas dit pour la secu :)

Reply

Marsh Posté le 08-04-2003 à 23:31:10    

un bon lien ;)
http://www.cgisecurity.net/articles/xss-faq.shtml


---------------
...oups kernel error...
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed