Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2739 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  [PHP] Variables de session

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[PHP] Variables de session

n°2012427
bilbao38
Posté le 28-07-2010 à 13:37:30  profilanswer
 

Bonjour,
Voilà en ce moment j'ai créé un site intranet en PHP, sur une plateforme WAMP.
 
Les utilisateurs se log au site avec leurs login/pass de l'Active Directory.
Je voudrais ajouter des fonctionnalités d'administrations et pour ce faire j'ai besoin des mots de passes Administrateurs et je doute entre 2 possibilités.
La première est de conserver le mot de passe en variable de session lorsque l'utilisateur se log. Il faut savoir qu'a AUCUN moment le mot de passe ne sera renvoyé au client.
(On le rentre une fois au login et puis basta)
Ce mot de passe ne servira qu'a exécuter des fonctions coté serveur, ces fonctions ne renvoient à l'utilisateur que des pages HTML brut ( avec un peu de JS aussi pour faire beau)
 
La deuxième possibilité consiste à demander aux utilisateurs leur mot de passe à chaque utilisations de ces fonctions, on ne conserve pas de mot de passe donc.
Seul problème le site n'est pas en HTTPS et j'aime pas trop envoyer des mots de passes à tous vas non cryptés (pas cool) , déjà le login est très limite je trouve...(mais bon ca je peut m'arranger, et puis on est en intranet y a quand même très peu de chances qu'un employé s'amuse à sniffer les MDP, toute la journée)
 
Bref je voulais savoir si une variable de session que l'on initialise qu'une seule fois et qu'après on ne la touche plus, est sécurisé ?Y a t-il un risque important pour qu'une personne puisse facilement récupérer un mot de passe Administrateur.
 
Je sait qu'il existes des failles avec les Sessions PHP mais je ne les connais/comprends pas toutes.
Cela peut paraitre idiot comme question mais je préfère ne pas prendre de risques avec les mots de passes Admin.
 
Merci beaucoup.


Message édité par bilbao38 le 28-07-2010 à 13:38:47
mood
Publicité
Posté le 28-07-2010 à 13:37:30  profilanswer
 

n°2012440
flo850
moi je
Posté le 28-07-2010 à 13:59:15  profilanswer
 

la solution 1 est la plus fiable, largement. Ajoute eventuellement des protection conter le vol de session  
http://www.xmcopartners.com/article-owasp-session.html

n°2012492
bilbao38
Posté le 28-07-2010 à 15:02:29  profilanswer
 

Merci beaucoup, j'avais justement lus un article de ce genre d'où mes suspicions.   :)  
 
Je pense en effet utiliser la première solution.

n°2012979
rufo
Pas me confondre avec Lycos!
Posté le 29-07-2010 à 17:31:43  profilanswer
 

Pour le login sans https, tu peux "limiter la casse" en hashant en md5 via du javascript le login et le mdp saisis avant l'envoi du formulaire au serveur. Plus précisément, tu fais un formulaire permettant de saisir le login et le mdp et sur le bouton submit, t'appelles un javascript qui va remplir un formulaire non affiché contenant 2 champ cachés qui vont contenir le md5 du login et du mdp saisis. Et c'est ce formulaire qui est envoyé au serveur. Comme ça, si JS est désactivé, le formulaire n'est pas envoyé en clair au serveur. Côté serveur, tu vérifies bien que les 2 chaînes reçues sont bien du md5. Puis tu requêtes ta BD avec ces 2 infos reçues pour trouver le bon user.
 
Edit : c'est comme ça que j'ai fait pour mes applis Astres et Icare (cf ma signature) ;) C'est mieux que rien.


Message édité par rufo le 29-07-2010 à 17:32:17

---------------
Astres, outil de help-desk GPL : http://sourceforge.net/projects/astres, ICARE, gestion de conf : http://sourceforge.net/projects/icare, Outil Planeta Calandreta : https://framalibre.org/content/planeta-calandreta

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  [PHP] Variables de session

 

Sujets relatifs
comment verifier existence valeur dans array sans passer par foreach?session cases à cocher - formulaire
Bouton d'annulation en PHP et variables de sessionEnregistrement des variables de session en PHP
PHP et les variables de session ProblemeDOM XML et variables session PHP
[PHP] [RESOLU] Session et variables qui n'en fait qu'a ça tete.[PHP]Problème avec les variables de session
[PHP] Mettre à jour les variables de session [resolu][PHP] Les variables de session magiques...
Plus de sujets relatifs à : [PHP] Variables de session


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR