Possible de simuler une variable de session ?
3 messages
• Page 1 sur 1
-
ortolojf - WRInaute passionné
- Messages: 1676
- Inscription: 14 Aoû 2002
Possible de simuler une variable de session ?
le Sam Nov 01, 2008 14:21
Bonjour
Vous savez qu'une variable de session, transmise donc automatiquement entre les scripts d'un site lors de la navigation d'un visiteur ( pour peu que la session soit activée à chaque script ), est lisible dans la super-globale $_SESSION['var'] , dans le cas de la variable var.
Ces variables de session, sont contenues dans le serveur, et le seul problème que je me pose, est de savoir si c'est possible éventuellement à un visiteur, de positionner de l'extérieur une variable de session, qui n'aurait pas été affectée en amont par un autre script. du même site.
Ceci, dans un contexte ou le Safe Mode est à Off. Le Register Globals est à On, mais la variable en question, est bien lue dans la super-globale si elle existe, sinon la variable est unsettée. Donc le Register Globals n'influe pas.
Donc, est-il vrai qu'il existe un moyen au monde, à un visiteur accédant avec n'importe quel navigateur à une url donnée, de faire en sorte de présenter au script de cette url, cette variable de session positionnée avec une valeur, alors qu'aucun script du site de cette url, n'a positionné avant lui-même cette variable de session ?
Tout ceci, en supposant évidemment, que le nom et la valeur de cette variable de session, nécessaire à l'authentification, sont connus du visiteur.
Merci beaucoup à vous pour vos réponses.
Bien à vous.
Amicalement.
Jean-François Ortolo
Vous savez qu'une variable de session, transmise donc automatiquement entre les scripts d'un site lors de la navigation d'un visiteur ( pour peu que la session soit activée à chaque script ), est lisible dans la super-globale $_SESSION['var'] , dans le cas de la variable var.
Ces variables de session, sont contenues dans le serveur, et le seul problème que je me pose, est de savoir si c'est possible éventuellement à un visiteur, de positionner de l'extérieur une variable de session, qui n'aurait pas été affectée en amont par un autre script. du même site.
Ceci, dans un contexte ou le Safe Mode est à Off. Le Register Globals est à On, mais la variable en question, est bien lue dans la super-globale si elle existe, sinon la variable est unsettée. Donc le Register Globals n'influe pas.
Donc, est-il vrai qu'il existe un moyen au monde, à un visiteur accédant avec n'importe quel navigateur à une url donnée, de faire en sorte de présenter au script de cette url, cette variable de session positionnée avec une valeur, alors qu'aucun script du site de cette url, n'a positionné avant lui-même cette variable de session ?
Tout ceci, en supposant évidemment, que le nom et la valeur de cette variable de session, nécessaire à l'authentification, sont connus du visiteur.
Merci beaucoup à vous pour vos réponses.
Bien à vous.
Amicalement.
Jean-François Ortolo
- dmathieu
- Modérateur
- Messages: 7244
- Inscription: 9 Jan 2004
le Sam Nov 01, 2008 15:39
La seule chose que l'utilisateur peut modifier lui-même, c'est l'identifiant de session.
Identifiant de session qui permet, côté serveur, de récupérer les variables qui sont stockées sur le serveur.
La seule solution pour l'utilisateur d'outrepasser ses droits et donc de se retrouver avec une session qui ne lui appartient pas, c'est de trouver un autre identifiant de session valide et de le changer.
Autant dire que les chances sont extrêmement faibles.
Les identifiants de session ont un vingtaine de caractères alphanumériques. Cela fait donc 35^20 possibilités. Faut un gros coup de bol
Identifiant de session qui permet, côté serveur, de récupérer les variables qui sont stockées sur le serveur.
La seule solution pour l'utilisateur d'outrepasser ses droits et donc de se retrouver avec une session qui ne lui appartient pas, c'est de trouver un autre identifiant de session valide et de le changer.
Autant dire que les chances sont extrêmement faibles.
Les identifiants de session ont un vingtaine de caractères alphanumériques. Cela fait donc 35^20 possibilités. Faut un gros coup de bol
-
ortolojf - WRInaute passionné
- Messages: 1676
- Inscription: 14 Aoû 2002
le Sam Nov 01, 2008 16:01
Merci beaucoup khazar
Donc, mon problème est résolu.
Le Directeur de mon site partenaire, va voir prochainement augmenter beaucoup les revenus de son site, car j'ai fait en sorte que la variable indiquant la réussite de l'authentification, ne puisse plus être transmise en mode GET, mais seulement en mode SESSION.
Pffoouu...
Je me demande encore, comment le précédent webmaster, a pu laisser passer un truc comme çà, lui qui était théoriquement ingénieur certifié MCP Microsoft ou mieux.
Lui, il travaille.
Par la même augmentation les stats de revenus de mon site partenaire, vont être plus significatifs, en me donnant des indications plus fiables, quant à ce que pourrait me rapporter mon propre site.
Et Monsieur Le Directeur va être content.
khazar, merci beaucoup de ta réponse.
Bien à toi.
Amicalement.
Jean-François Ortolo
Donc, mon problème est résolu.
Le Directeur de mon site partenaire, va voir prochainement augmenter beaucoup les revenus de son site
, car j'ai fait en sorte que la variable indiquant la réussite de l'authentification, ne puisse plus être transmise en mode GET, mais seulement en mode SESSION.
Pffoouu...
Je me demande encore, comment le précédent webmaster, a pu laisser passer un truc comme çà, lui qui était théoriquement ingénieur certifié MCP Microsoft ou mieux.
Lui, il travaille.
Par la même augmentation les stats de revenus de mon site partenaire, vont être plus significatifs, en me donnant des indications plus fiables, quant à ce que pourrait me rapporter mon propre site.
Et Monsieur Le Directeur va être content.
khazar, merci beaucoup de ta réponse.
Bien à toi.
Amicalement.
Jean-François Ortolo
3 messages
• Page 1 sur 1
Lectures recommandées sur ce thème :
- Est-il possible de simuler une variable de session ?
- probleme variable session
- variable de session $_SESSION
- Pb de variable session et référencement
- Transmettre une variable de session?
- Problème avec variable session
- variable de session et cookie introuvabe
- Url rewriting et variable session
- variable de session combien un serveur peut en supporter?
- variable url de session transmise par curl ?
- Référencement : le problème des sessions des pages PHP - 04-08-2008
- Google Developer Day 2007 : à Paris et dans 9 autres villes - 27-05-2007
- Le référencement de pages PHP - 04-08-2008
- Séminaire sur le référencement : ImiTiki - Online 2005 - 18-04-2005
- Trouver son checksum Google avec la toolbar (barre d'outils) - 20-10-2002
- Configurer des nouveaux moteurs dans Google Analytics - 12-06-2007
- Référencement de l'AJAX : la solution Google - 09-10-2009
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité
Contact
Confidentialité