Possible de simuler une variable de session ?

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par ortolojf, 1 Novembre 2008.

  1. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 574
    J'aime reçus:
    32
    Bonjour

    Vous savez qu'une variable de session, transmise donc automatiquement entre les scripts d'un site lors de la navigation d'un visiteur ( pour peu que la session soit activée à chaque script ), est lisible dans la super-globale $_SESSION['var'] , dans le cas de la variable var.

    Ces variables de session, sont contenues dans le serveur, et le seul problème que je me pose, est de savoir si c'est possible éventuellement à un visiteur, de positionner de l'extérieur une variable de session, qui n'aurait pas été affectée en amont par un autre script. du même site.

    Ceci, dans un contexte ou le Safe Mode est à Off. Le Register Globals est à On, mais la variable en question, est bien lue dans la super-globale si elle existe, sinon la variable est unsettée. Donc le Register Globals n'influe pas.

    Donc, est-il vrai qu'il existe un moyen au monde, à un visiteur accédant avec n'importe quel navigateur à une url donnée, de faire en sorte de présenter au script de cette url, cette variable de session positionnée avec une valeur, alors qu'aucun script du site de cette url, n'a positionné avant lui-même cette variable de session ?

    Tout ceci, en supposant évidemment, que le nom et la valeur de cette variable de session, nécessaire à l'authentification, sont connus du visiteur.

    Merci beaucoup à vous pour vos réponses.

    Bien à vous.

    Amicalement.

    Jean-François Ortolo
     
  2. dmathieu
    dmathieu WRInaute accro
    Inscrit:
    9 Janvier 2004
    Messages:
    5 596
    J'aime reçus:
    0
    La seule chose que l'utilisateur peut modifier lui-même, c'est l'identifiant de session.
    Identifiant de session qui permet, côté serveur, de récupérer les variables qui sont stockées sur le serveur.

    La seule solution pour l'utilisateur d'outrepasser ses droits et donc de se retrouver avec une session qui ne lui appartient pas, c'est de trouver un autre identifiant de session valide et de le changer.

    Autant dire que les chances sont extrêmement faibles.
    Les identifiants de session ont un vingtaine de caractères alphanumériques. Cela fait donc 35^20 possibilités. Faut un gros coup de bol ;)
     
  3. ortolojf
    ortolojf WRInaute accro
    Inscrit:
    14 Août 2002
    Messages:
    3 574
    J'aime reçus:
    32
    Merci beaucoup khazar

    Donc, mon problème est résolu.

    Le Directeur de mon site partenaire, va voir prochainement augmenter beaucoup les revenus de son site ;), car j'ai fait en sorte que la variable indiquant la réussite de l'authentification, ne puisse plus être transmise en mode GET, mais seulement en mode SESSION.

    Pffoouu...

    Je me demande encore, comment le précédent webmaster, a pu laisser passer un truc comme çà, lui qui était théoriquement ingénieur certifié MCP Microsoft ou mieux.

    Lui, il travaille. ;)

    Par la même augmentation les stats de revenus de mon site partenaire, vont être plus significatifs, en me donnant des indications plus fiables, quant à ce que pourrait me rapporter mon propre site. ;)

    Et Monsieur Le Directeur va être content. ;)

    khazar, merci beaucoup de ta réponse.

    Bien à toi.

    Amicalement.

    Jean-François Ortolo
     
Chargement...
Similar Threads - Possible simuler variable Forum Date
Est-il possible de simuler une variable de session ? Développement d'un site Web ou d'une appli mobile 30 Décembre 2011
Impossible de supprimer une page Facebook Facebook 15 Juin 2022
Des avis sur mon site svp et échange de lien possible Demandes d'avis et de conseils sur vos sites 28 Avril 2022
"Impossible de lire le sitemap" Search console Crawl et indexation Google, sitemaps 20 Mars 2022
Search Console Impossible de demander une indexation manuelle, état exclut Problèmes de référencement spécifiques à vos sites 12 Février 2022
Tweet sponsorisé avec sondage impossible Twitter 8 Février 2022
Impossible de lire le sitemap (webmaster tools) Crawl et indexation Google, sitemaps 17 Novembre 2021
Impossible de décocher la case de demander aux moteurs de recherche Problèmes de référencement spécifiques à vos sites 29 Octobre 2021
WordPress Balise canonique sur une page impossible à modifier via Yoast Problèmes de référencement spécifiques à vos sites 28 Octobre 2021
Impossible d'indexer mon site sur google search console Rédaction web et référencement 5 Octobre 2021
Impossible de mettre à jour mes articles comment faire? Débuter en référencement 25 Août 2021
location.href possible en nofollow ? Développement d'un site Web ou d'une appli mobile 5 Juillet 2021
Est-il possible d'estimer le nombre de truviews sur youtube ads ? AdWords 6 Juin 2021
static possible pour une méthode avec promise ? Développement d'un site Web ou d'une appli mobile 3 Février 2021
Impossible de créer un nom d'utilisateur sur ma page FB Facebook 26 Octobre 2020
Impossible de faire une redirect 301 ou permanent URL Rewriting et .htaccess 22 Octobre 2020
activité inhabituelle impossible d'ouvrir hotmail Droit du web (juridique, fiscalité...) 18 Octobre 2020
Impossible de transformer son profil en page ? Facebook 6 Octobre 2020
Search Console Sitemaps non indéxés ""Impossible de recuperer le sitemap" Crawl et indexation Google, sitemaps 23 Juillet 2020
Site langue fr au Maroc : lang fr-MA possible ? Référencement international (langues, pays) 23 Juin 2020