Discussion :

[ForgetTheNorm]

Bonjour à tous

Je suis en train de développer un site où des variables ont besoin d'être sécurisées, c'est-à-dire :
- ne doivent être accessibles que par l'utilisateur courant
- ne doivent pas pouvoir être modifiées par n'importe quel utilisateur

Pour l'instant, je place mes données sensibles dans les variables de session. Pour accéder à ces variables, j'utilise donc la variable $_SESSION.

- Un utilisateur malveillant peut-il modifier ces données, ou seul le serveur où s’exécute le script peut le faire ?
- Est-ce que seul l'utilisateur courant peut afficher ces variables ?

Pierre

[ABCIWEB]

Pour l'instant, je place mes données sensibles dans les variables de session. Pour accéder à ces variables, j'utilise donc la variable $_SESSION.

- Un utilisateur malveillant peut-il modifier ces données, ou seul le serveur où s’exécute le script peut le faire ?
- Est-ce que seul l'utilisateur courant peut afficher ces variables ?

Pierre

C'est sécurisé comme tu le souhaite tant qu'un pirate ne te pique pas l'identifiant de session auquel cas il obtiendra les mêmes variables et les même droits que le visiteur auquel est attribué la session. Un petit topo ici

Disons pour résumé que c'est très fiable tant que tu ne te connecte pas depuis un accès public ou derrière un proxy. Pour un maximum de sécurité il faut utiliser le SLL car dans ce cas les données sont cryptées et il est très difficile d'isoler l'identifiant de session du paquet crypté.

[ForgetTheNorm]

Bonjour et merci pour ta réponse.

Si je comprend bien, les variables de session sont stockées sur le serveur. Chaque utilisateur possède un identifiant unique qui référence ses variables. Cet identifiant unique est stocké dans un cookie, utilisé par le serveur pour accéder aux bonnes variables. Le problème des cookies est qu'ils transitent non cryptés sur le réseau, et qu'un utilisateur mal intentionné peut récupérer ce cookie pour se faire passer pour quelqu'un d'autre. Cependant, l'utilisateur (ou l'utilisateur mal intentionné) ne pourra jamais modifier ces dites variables, puisqu'elles sont stockées sur le serveur.

Cependant, je ne comprends pas trop ce que le SSL vient faire dans la solution que tu proposes. J'ai l'impression que c'est plus au niveau de la configuration du serveur (qui n'est pas à moi, c'est un serveur mutualisé) qu'au niveau du code PHP. As-tu un tutoriel / un morceau de code pour moi ?

Pierre

edit : Que penses-tu de cette méthode ?
http://www.experience-developpement....l-de-sessions/

[ABCIWEB]

Bonjour et merci pour ta réponse.

Cependant, l'utilisateur (ou l'utilisateur mal intentionné) ne pourra jamais modifier ces dites variables, puisqu'elles sont stockées sur le serveur.

Cela dépend si certaines de ces variables sont modifiables par l'utilisateur (variables de session enregistrant un panier d'achat etc.)

Cependant, je ne comprends pas trop ce que le SSL vient faire dans la solution que tu proposes.

Si l'identifiant de session est dans un code crypté on ne pourra pas le récupérer.