Possible de simuler une variable de session ?
3 messages • Page 1 sur 1
Consultez la formation au référencement naturel Google de WebRankInfo / Ranking Metrics
Possible de simuler une variable de session ?
le Sam Nov 01, 2008 14:21
Bonjour
Vous savez qu'une variable de session, transmise donc automatiquement entre les scripts d'un site lors de la navigation d'un visiteur ( pour peu que la session soit activée à chaque script ), est lisible dans la super-globale $_SESSION['var'] , dans le cas de la variable var.
Ces variables de session, sont contenues dans le serveur, et le seul problème que je me pose, est de savoir si c'est possible éventuellement à un visiteur, de positionner de l'extérieur une variable de session, qui n'aurait pas été affectée en amont par un autre script. du même site.
Ceci, dans un contexte ou le Safe Mode est à Off. Le Register Globals est à On, mais la variable en question, est bien lue dans la super-globale si elle existe, sinon la variable est unsettée. Donc le Register Globals n'influe pas.
Donc, est-il vrai qu'il existe un moyen au monde, à un visiteur accédant avec n'importe quel navigateur à une url donnée, de faire en sorte de présenter au script de cette url, cette variable de session positionnée avec une valeur, alors qu'aucun script du site de cette url, n'a positionné avant lui-même cette variable de session ?
Tout ceci, en supposant évidemment, que le nom et la valeur de cette variable de session, nécessaire à l'authentification, sont connus du visiteur.
Merci beaucoup à vous pour vos réponses.
Bien à vous.
Amicalement.
Jean-François Ortolo
Vous savez qu'une variable de session, transmise donc automatiquement entre les scripts d'un site lors de la navigation d'un visiteur ( pour peu que la session soit activée à chaque script ), est lisible dans la super-globale $_SESSION['var'] , dans le cas de la variable var.
Ces variables de session, sont contenues dans le serveur, et le seul problème que je me pose, est de savoir si c'est possible éventuellement à un visiteur, de positionner de l'extérieur une variable de session, qui n'aurait pas été affectée en amont par un autre script. du même site.
Ceci, dans un contexte ou le Safe Mode est à Off. Le Register Globals est à On, mais la variable en question, est bien lue dans la super-globale si elle existe, sinon la variable est unsettée. Donc le Register Globals n'influe pas.
Donc, est-il vrai qu'il existe un moyen au monde, à un visiteur accédant avec n'importe quel navigateur à une url donnée, de faire en sorte de présenter au script de cette url, cette variable de session positionnée avec une valeur, alors qu'aucun script du site de cette url, n'a positionné avant lui-même cette variable de session ?
Tout ceci, en supposant évidemment, que le nom et la valeur de cette variable de session, nécessaire à l'authentification, sont connus du visiteur.
Merci beaucoup à vous pour vos réponses.
Bien à vous.
Amicalement.
Jean-François Ortolo
le Sam Nov 01, 2008 15:39
La seule chose que l'utilisateur peut modifier lui-même, c'est l'identifiant de session.
Identifiant de session qui permet, côté serveur, de récupérer les variables qui sont stockées sur le serveur.
La seule solution pour l'utilisateur d'outrepasser ses droits et donc de se retrouver avec une session qui ne lui appartient pas, c'est de trouver un autre identifiant de session valide et de le changer.
Autant dire que les chances sont extrêmement faibles.
Les identifiants de session ont un vingtaine de caractères alphanumériques. Cela fait donc 35^20 possibilités. Faut un gros coup de bol
Identifiant de session qui permet, côté serveur, de récupérer les variables qui sont stockées sur le serveur.
La seule solution pour l'utilisateur d'outrepasser ses droits et donc de se retrouver avec une session qui ne lui appartient pas, c'est de trouver un autre identifiant de session valide et de le changer.
Autant dire que les chances sont extrêmement faibles.
Les identifiants de session ont un vingtaine de caractères alphanumériques. Cela fait donc 35^20 possibilités. Faut un gros coup de bol
le Sam Nov 01, 2008 16:01
Merci beaucoup khazar
Donc, mon problème est résolu.
Le Directeur de mon site partenaire, va voir prochainement augmenter beaucoup les revenus de son site, car j'ai fait en sorte que la variable indiquant la réussite de l'authentification, ne puisse plus être transmise en mode GET, mais seulement en mode SESSION.
Pffoouu...
Je me demande encore, comment le précédent webmaster, a pu laisser passer un truc comme çà, lui qui était théoriquement ingénieur certifié MCP Microsoft ou mieux.
Lui, il travaille.
Par la même augmentation les stats de revenus de mon site partenaire, vont être plus significatifs, en me donnant des indications plus fiables, quant à ce que pourrait me rapporter mon propre site.
Et Monsieur Le Directeur va être content.
khazar, merci beaucoup de ta réponse.
Bien à toi.
Amicalement.
Jean-François Ortolo
Donc, mon problème est résolu.
Le Directeur de mon site partenaire, va voir prochainement augmenter beaucoup les revenus de son site
, car j'ai fait en sorte que la variable indiquant la réussite de l'authentification, ne puisse plus être transmise en mode GET, mais seulement en mode SESSION.
Pffoouu...
Je me demande encore, comment le précédent webmaster, a pu laisser passer un truc comme çà, lui qui était théoriquement ingénieur certifié MCP Microsoft ou mieux.
Lui, il travaille.
Par la même augmentation les stats de revenus de mon site partenaire, vont être plus significatifs, en me donnant des indications plus fiables, quant à ce que pourrait me rapporter mon propre site.
Et Monsieur Le Directeur va être content.
khazar, merci beaucoup de ta réponse.
Bien à toi.
Amicalement.
Jean-François Ortolo
3 messages • Page 1 sur 1
Formation recommandée sur ce thème :
Formation Référencement naturel Google : apprenez une méthode efficace pour optimiser à fond le référencement naturel dans Google de façon durable... Formation animée par Olivier Duffez et Fabien Facériès, experts en référencement naturel.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Référencement : le problème des sessions des pages PHP
- Google Developer Day 2007 : à Paris et dans 9 autres villes
- Référencement d'un forum phpBB
- Le référencement de pages PHP
- Séminaire sur le référencement : ImiTiki - Online 2005
- Configurer des nouveaux moteurs dans Google Analytics
- Trouver son checksum Google avec la toolbar (barre d'outils)
- Formation référencement à Paris du 24 au 27 nov. 2009 Ranking Metrics
- Référencement de l'AJAX : la solution Google
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
- Index du forum
- L’équipe du forum • Supprimer les cookies du forum • Heures au format UTC + 1 heure
- Flux RSS de WebRankInfo :
le forum- les articles des dossiers
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
, traduction par phpBB-fr.com, mod SEO par phpbb-seo.com
Contact
Confidentialité