Session ou cookie ?
le 25/03/2006 à 22:43
bibi
euh le meme fournisseur et le meme navigateur , c'est pas super difficle a cracker hein . 4 navigateurs en gros, une 10aine de fournisseurs , c'est pas la mort.
commit suicide
le 26/03/2006 à 00:53
Bzh
Oui ! Mais tout cela dans un md5 !
Si tu veux, le mec vole un cookie ! Puis l'émule ! Or, il n'est pas sencé savoir que lorsque tu testes la validité de cookie, tu vérifies son navigateur ainsi que son fournisseur !
Or pas de bol pour lui, tu le fais, et manque de bol pour lui il n' pas la même config que le propriétaire du cookie.
Bin dans ce cas là, tu supprimes directement le cookie...
Comment veux-tu que le mec sache ce qu'il y a comme info dans ton cookie si tu passe par un md5 ?????
Je lui souhaite bien du courage pour casser un md5 qui fait tout de même plus d'une 20ène de caratères (en comptant tout) !!!!
Et puis 4 * 10 = 40 tout de même... 40 possibilités sans savoir ce qu'il y a dedans, il faut vraiment une sacré chance. S'il tombe du premier cou, je lui conseil d'aller jouer au loto juste après...
Oui, merci beaucoup. C'est ce que je vais faire.
Juste une question, est-ce que l'IP peut-rentrer en compte (ou est-ce que l'utilisateur peut la modifier)
le 26/03/2006 à 17:52
bibi
c'est peut-etre pas probable , mais ca peut arriver.
commit suicide
le 26/03/2006 à 18:27
Bzh
C'était possible à une cetaine époque "ip spoofing" !!!
Mais maintenant, je ne suis pas sur quelle soit encore d'actualité !!!!
Sa reste à vérifier tout de même...
(Bzh) L'IP spoofing est toujours d'actualité. Ensuite, en ce qui concerne ce qu'un attaquant est sensé savoir ou non, c'est reposer sur la bêtise du pirate. Parce que, s'il a réussi à piquer le cookie, il connait le système, le FAI, l'IP, etc de la victime. Donc il les émulera quand il verra que l'exploitation directe du cookie ne fonctionne pas.
C'est donc une très mauvaise stratégie.
En ce qui concerne le md5sum... no comment.
Aucune méthode basée sur la confiance ne permet de sécuriser un transfert. HTTP n'est pas sécurisé, ce n'est pas la peine d'essayer d'y appliquer des rustines.
Si vous voulez sécuriser un transfert, et donc éviter les vols de session, la seule solution est d'utiliser HTTPS.
Le reste, c'est du bricolage.
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
le 28/03/2006 à 13:28
Bzh
Ah ??? Alors explique moi déja comment tu compte t'y prendre pour voler un cookie ???
A moin d'avoir un accès direct au pc et donc dans ce cas évidement accès aux infos tel que le FAI, je ne connais qu'une seule autre attaque "réalisable" pour voler un cookie, XSS !!!!
Et dans ce cas, dis moi comment tu compte t'y prendre pour choper toutes les infos du mec auquel ta volé le cookie ???
Je ne pense pas que tu fais tous tes espaces membres avec le protocole HTTPS ! Donc voila, il ne s'agit pas d'avoir une sécurité à toute épreuve mais seulement mettre toutes les chances de son coté...
Et puis, il faut que le mec soit tout de même sacrément motiver pour penser à essayer avec tous les FAI, tous les navigateurs dans toutes les langues avec tous les OS possibles. On peut même rajouter si tu le souhaites, la localisation géographique du client !
Faut être réaliste. Et puis, le sujet ne parlait pas de comment rendre un espace membre inviolable, mais juste comment créer une auto-connexion au site comme sur lephpfacile de façon la plus sur possible.
Si tu vois une autre solution plus sur, n'hésite pas à nous en faire part ! Moi, perso, je ne vois que celle ci
!!!
Social Engeenering et écoute du réseau sont les mamelles du piratage ;)
Le principal problème dans la sécurité c'est l'humain.
Et dans ce cas, dis moi comment tu compte t'y prendre pour choper toutes les infos du mec auquel ta volé le cookie ???
1 - tu as l'IP
2 - le cookie est header, il suffit de lire le header transmis dans la communication HTTP pour récupérer le type de navigateur
3 - hosts adress_ip
C'est facile de retrouver les informations de quelqu'un à qui on pique une première.
[cite]Et puis, il faut que le mec soit tout de même sacrément motiver pour penser à essayer avec tous les FAI, tous les navigateurs dans toutes les langues avec tous les OS possibles.[/cite]
Ce que tu peux voir, un pirate peut le voir.
[cite]On peut même rajouter si tu le souhaites, la localisation géographique du client ![/cite]
Information publique liée à l'adresse IP.
[cite]Faut être réaliste.[/cite] Justement, tu en manques ;)
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.
le 31/03/2006 à 19:10
Bzh
Oui ! Et comment tu fais pour lire les en-tête de la communication par le protocole http ? Ce n'est en ayant accès au pc, c'est à dire Cheval de troie etc...
Nan (perso, je ne vois pas trop comment faire sinon)??? Le sniffer doit bien être sur le pc...
En aucun cas à cause d'une faille du site. Si le visiteur est mal protêgé chez lui, ce n'est, je pense pas, l'affaire du webmaster...
Le sniffer n'a pas besoin d'être sur le même PC. Il suffit de pouvoir écouter le réseau.
Développeur récurrent, procédural et relationnel. Caustique soupe-au-lait.