Discussion :

[xxkirastarothxx]

Bonjour à tous.
Je suis sur la fin de projet d'un CMS, et je fais un relecture pour vérifier la sécurité de mes pages.
je me suis aperçu que mes session étaient gérées uniquement par un session_start() dès le simple visiteur.
j'ai donc fais un petit script qui permet de faire une autentification de session plus complète.

Je voudrais savoir ce que vous en pensez.
Est-ce suffisant, sachant que j'utilise des variables de session pour les différents acces ( par exemple pour admin: if ($_SESSION['level'] > 2) ...), dans des requetes sql (par exemple SELECT * FROM 'matable' WHERE level <= $_SESSION['level']) ou encore pour reperer l'auteur d'un messages / news ... (par exemple if ($donnees['auteur'] == $_SESSION['pseudo'])

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
<?php
//definir les robots connu dans un array
$robotsarray = array(
   "Googlebot", 
   "Slurp", 
   "Fast", 
   "Scooter", 
   "VoilaBot", 
);
$isrobot = false; 
 
//Verifier si le visiteur est un robot connu
foreach($robotsarray as $spider)  { 
   if (eregi($spider, $_SERVER['HTTP_USER_AGENT'])) { 
      $isrobot = true;
      break; 
   }
}
 
//si ce n'est pas le cas, on démarre la session
if(!$isrobot){
	session_start();
	//ici on crée/verifie une variable d'identification (hachage de l'id du site(unique) + user_agent)
	if (!isset($_SESSION[CONFIGNAME]['initiated']))
	{
	    session_regenerate_id();
	    $_SESSION[CONFIGNAME]['initiated'] = true;
	}
	if (isset($_SESSION[CONFIGNAME]['HTTP_USER_AGENT']))
	{
	    if ($_SESSION[CONFIGNAME]['HTTP_USER_AGENT'] != md5($config_siteID.$_SERVER['HTTP_USER_AGENT']))
	    {
	        //la variable est differente de celle enregistrée précedement: erreur -> retour au login
	        session_destroy();
			header("Location: index.php?com=users&option=login&autherror");
	    }
	}
	else
	{
	    //si la variable n'existe pas, on la crée (première visite)
	    $_SESSION[CONFIGNAME]['HTTP_USER_AGENT'] = md5($config_siteID.$_SERVER['HTTP_USER_AGENT']);
	}
	//si un nom d'utilisateur est defini, on verifie une seconde varaible definie lors du login
	if(isset($_SESSION[CONFIGNAME]['pseudo']) OR isset($_SESSION[CONFIGNAME]['id']) OR isset($_SESSION[CONFIGNAME]['level']))
	{
		if (isset($_SESSION[CONFIGNAME]['user_session']))
		{
		    //Ne faites pas attention a ça; c'est simplement ma fonction sql.
		    $req_user = $db->select('users', 'WHERE id="'.intval($_SESSION[CONFIGNAME]['id']).'" AND username="'.mysql_real_escape_string(htmlspecialchars($_SESSION[CONFIGNAME]['pseudo'])).'" AND level="'.intval($_SESSION[CONFIGNAME]['level']).'"');
			if(is_array($req_user))
			$user = $req_user[0];
			if ($_SESSION[CONFIGNAME]['user_session'] != sha1($user['register_date'].$user['password'].$user['register_ip']))
		    {
		        session_destroy();
				header("Location: index.php?com=users&option=login&autherror");
				die();
		    }
		}
		else
		{
		    session_destroy();
			header("Location: index.php?com=users&option=login&autherror");
			die();
		}
	}
}
?>

Voila

Pour finir, je voulais également demander quel sont les différent point de sécurité à vérifier, et si possible des petits liens.
j'ai déjà verifier ces differents points:
-les variables ( intval / htmlspecialchars/ mysql_real_esxape_string ...)
=> les magicquote dispence du addslashes non ?
-inclusions (toutes mes inclusions sont fixes, aucun include($var.'.php'); )
-mes requetes sql


Voila voia. Merci d'avance

[Lorenzo77]

si tu ne veux pas t'embêter et avoir une sécu solide, alors tu peux utiliser PEAR et ces packages http://pear.php.net/packages.php?cat...cation&php=all

j'utilise Auth car il est solide et simple.


je comprends pas pourquoi tu utilises le USER_AGENT dans ton authentification, REMOTE_ADDR est grandement préferable !


concernant les magicquote : tu dois dans TOUS les cas prévoir son activation ou sa desactivation, faut créer une méthode en conséquence car la config change d'un serveur a l'autre

[xxkirastarothxx]

J'utilise le user_agent, car bien que ça soit moins "unique" que l'adresse ip, je peux également l'utiliser pour mes cookies, puisqu'il changera moins souvent qu'une adresse ip. je pourrais aussi utiliser REMOTE_HOST limite.

Pour le magic quote, j'y ai pensé, et j'ai fais un petit script:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
function secure($var, $type)
{
	if ($type == "int")
	{
		if(is_int($var) or empty($var))
		return intval($var);
		else
		alert_admin($var.' '.$type);
	}
	elseif($type == "string")
	{
		if(is_string($var) or empty($var))
		{
			if(get_magic_quotes_gpc() == 1)
			{
				return mysql_real_escape_string(htmlspecialchars(sripslashes($var)));
			}
			else
			{
				return mysql_real_escape_string(htmlspecialchars($var));
			}
		}
		else
		{
			alert_admin($var.' '.$type);
		}
 
	}
}

pas fini encore, mais ça fonctionne

Sinon pour le pear je vais allé voir ça
Merci

[Lorenzo77]

J'utilise le user_agent, car bien que ça soit moins "unique" que l'adresse ip, je peux également l'utiliser pour mes cookies, puisqu'il changera moins souvent qu'une adresse ip

user_agent peut être changé a volonté par le client (FF/Opera/...), par contre REMOTE_ADDR est lié a son IP, si son IP change, tanpis, il devra se reconnecter ..
question sécu REMOTE_ADDR est plus solide, le mieux reste l'adresse MAC (adresse propre a chaque carte réseau) mais tu l'utilises que sur les réseau intranet ayant un gros besoin de sécu (et encore, ya toujours moyen de contourner...)



pour les magic_quotes, j'utilise ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

get_magic_quotes_gpc() ? $stSource = stripslashes($stSource) : '';

pour ta condition :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if(is_string($var) or empty($var))

juste avant tu fais un test :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

elseif($type == "string")

il n'y a pas redondance et incohérence ?

[xxkirastarothxx]

Pour le user_agent, c'est pas si important: c'est une vérification pour les utilisateurs non logué, je ne pense même pas la laisser ça sert a rien de verifier l'authenticité d'un visiteur non logué.
J'ai une seconde vérification bien plus pointu si l'utilisateur est repéré comme un utilisateur logué. (à base de son mot de passe, de sont ip d'enregistrement et de son timestamp d'enregistrement)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

sha1($user['register_date'].$user['password'].$user['register_ip'])

Précision: $user['password'] est déjà en md5

Pour l'adresse mac, effectivement ça ne fonctionnerai que sur de l'intranet, peu d'intérêt pour un CMS; et puis l'adresse mac est unique... en théorie oui, mais bon, c'est vraiment pas si compliqué de la changer avec un minimum de connaissance; et en général les attaquants en ont un minimum

pour ta condition :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

if(is_string($var) or empty($var))

juste avant tu fais un test :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

elseif($type == "string")

il n'y a pas redondance et incohérence ?

Bah heu... non ... -> function secure($var, $type)
par exemple, imaginons la fonction:
secure($_GET['username'], "string");
$_GET['username'] DOIT être une string (puisque je précise $type = "string", mais il est possible que ça ne soit pas le cas (si un utilisateur met &username=1 par exemple), c'est donc ce que je vérifie.

la redondance c'est plus dans la seconde partie du script:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
if(is_int($var) or empty($var))
return intval($var);

"if(is_int .... return intval...)"... là je suis d'accord ça sert a rien ^^

pour finir, pour ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

get_magic_quotes_gpc() ? $stSource = stripslashes($stSource) : '';

j'ai déjà vu cette façon de codé, j'arrive a la comprendre, mais je n'y connais rien ^^
Ca reviens au même en plus cours enfait
à voir