|
 Attention, vous n'avez pas les droits suffisant pour particper dans cette catégorie
[Sécurité] Livre d'or [Cookie]
| Auteur |
Titre : [Sécurité] Livre d'or [Cookie] | | 2008-03-25 17:40:50 |
  | dj-tiny
Sexe :
Status : OfflineConfig :    
Rang : De passage
Envois :4
|
Bonjour,
Ce message s'adresse surtout au développeur du livre d'or :
Savez-vous qu'il est dégeureux de stockuer des données sensibles dans les cookies ?
comme..... le mot de passe !
parce-que, après avoir entré le mot de passe pour accèder à l'administration du livre d'or, [avec FireFox], si je fais Outils > Options... > vie privée > Afficher les cookies > free-livredor.com > tribi > bah dedant, j'ai mon mot de passe en clair !
Déjà on stoke pas de mot de passe, crypté ou pas crypté dans des cookies ! c'est dangereux !
cf page 217 du livre PHP 5 avancé 
Tu dois surement l'avoir
Je te conseillerais même de relire en entier le chapitre 10
Voilà, en espérent que tu va corriger cette faille du sécurité....
PS: un conseil, utilise les sessions (cf chap. 11)
--Message édité par le 25-11-07 à 23:09:48--
----------------------
|
| | 2007-12-05 22:02:17 |
 
| dj-tiny
Rang : De passage Envois : 4 |
Personne ne répond ? 
----------------------
|
| | 2007-12-10 17:32:32 |
| scull
Myscull
Sexe : Homme
Status : Config :
Groupe : floodeur Rang : Admin Envois : 4355  scull_wm@hotmail.com |
Bonjour,
Je ne possède pas ce livre ce qui ne m'empêche pas d'avoir de bonne notions de sécurités en matière de développement web.
Je te recommande toutefois de bien relire la partie en question, tu y apprendras que déjà dans 99,99% des applications php web, on ne crypte pas un mot de passe mais on "hache" un mot de passe à l'aide de protocoles comme MD5 ou SHA1. Toutefois, tu apprendras par la suite que même un mot de passe haché dans un cookie peu permettre de s'identifier sur une application et usurper l'identité du propriétaire du cookie.
La fréquence des connexions aux interface d'administration ne justifie pas l'utilisation de sessions, lourdes à mettre en place. Les cookies ayant une durée de vie limitée conviennent parfaitement.
Sur ce bonne lecture à toi
----------------------
Perez Thomas
Direction technique de free-bb.com
 |
| | 2007-12-10 18:06:59 |
| dj-tiny
Rang : De passage Envois : 4 |
Bonjour,
tu apprendras par la suite que même un mot de passe haché dans un cookie peu permettre de s'identifier sur une application et usurper l'identité du propriétaire du cookie.
Oui, bah oui, mais, .si les mot de passe son hacher en md5 dans le cookie, tu peux l'utiliser tel quel pour identifier le membre, car comme tu parle de md5, je suppose que c'est crypté comme cela dans ta base de donnée... Ou pareil pour le SHA1, le principe reste le même ...
Toujours pareil, mot de passe et/ou données sensibles ne doivent pas être stocker dans un cookie
c'est se qui est écrit clairement dans la bible :P
Bon, après, c'est toi... Je t'impose rien...
Merci de ton attention que tu a prêté à ce message
Christophe.
----------------------
|
| | 2008-03-25 16:54:58 |
| terfsdqfdqsd
Sexe : Homme
Status : Config :  
Rang : De passage Envois : 5 |
Entièrement raison.
on peut utiliser l'email de quelqu'un d'autres, utiliser ses cookies, on peut mettre du !javascript! dans certaines pages, il faut misérer pour trouver le profil. (sur le forum)
Et il est simple d'accéder au ressources du serveur à l'aide de code.
Niveau sécurité sur ce forum c'est NADA.
scull il serait bien que tu ailles apprendre à programmer, car là ca frole l'inconscience de proposer un service sans aucune sécurité.
P.S : je suis connecté avec l'email personnelle de scull, n'est-ce pas choquant ???!!! même pas de vérification, RIEN. Je ne pousse pas plus loin mes tests car je ne sait pas où donner de la tête dans toutes ces failles 
Mais petit conseil a ceux qui veulent un service professionnel, allez voir ailleurs... En plus le forum n'est même pas beau ... même pas rapide, bourré de bugs, pas pratique, enfin bref, c'est vraiment grave de fournir un service même pas complet, bourré de fautes et j'en passe. scull il serait bien que tu fasses des efforts, car là c'est vraiment grave d'en arriver là .... je n'ai jamais vu ca de ma vie, le pire c'est en faisant un whois et en voyant depuis combien de temps le forum été créé (j'aurais dit qu'il avait été fait en une semaine ....)
P.S : essayes aussi de répondre a tes "clients", je viens de lire plus de 10 sujets, AUCUNE réponse, parfois ca serait simple de les aider, mais il n'y a strictement aucun support. Ok c'est gratuit, mais là c'est vraiment grave ....  Ferme ton service si tu n'es pas capable de t'en occuper (ce qui est le cas, entre le message de dj-tiny et le tiens, il s'est écoulé 1 semaine, vraiment choquant !!!) De plus je metterais mes deux mains à couper que ce n'est pas toi qui demande à MusicalBox de poster tel annonce, mais lui qui doit venir te voir et t'avertir d'un problème tellement tu n'es pas là et que tu ne t'occupes pas du service.
Il y a des gens qui te font confiance et compte sur toi, je trouve cela inadmissible que tu ne les respectes pas.
EDIT : ah oui aussi, on peut facilement prendre n'importe quel compte sur le forum sans avoir forcement de connaissances particulière, juste en ayant un peu de jujotte, je viens de tester, mais je ne vais pas jouer mon enfoiré et éviter de tout foutre en l'air même si un jour quelqu'un le fera.
--Message édité par terfsdqfdqsd le 25-03-08 à 16:59:15--
--Message édité par terfsdqfdqsd le 26-03-08 à 00:33:32--
----------------------
|
| | 2008-03-25 17:40:50 |
| dj-tiny
Rang : De passage Envois : 4 |
Bien dit 
----------------------
|
| | |
|
|
Attention, vous n'avez pas les droits suffisant pour particper dans cette catégorie
|
