Possible de simuler une variable de session ?

[ortolojf]

Bonjour

Vous savez qu'une variable de session, transmise donc automatiquement entre les scripts d'un site lors de la navigation d'un visiteur ( pour peu que la session soit activée à chaque script ), est lisible dans la super-globale $_SESSION['var'] , dans le cas de la variable var.

Ces variables de session, sont contenues dans le serveur, et le seul problème que je me pose, est de savoir si c'est possible éventuellement à un visiteur, de positionner de l'extérieur une variable de session, qui n'aurait pas été affectée en amont par un autre script. du même site.

Ceci, dans un contexte ou le Safe Mode est à Off. Le Register Globals est à On, mais la variable en question, est bien lue dans la super-globale si elle existe, sinon la variable est unsettée. Donc le Register Globals n'influe pas.

Donc, est-il vrai qu'il existe un moyen au monde, à un visiteur accédant avec n'importe quel navigateur à une url donnée, de faire en sorte de présenter au script de cette url, cette variable de session positionnée avec une valeur, alors qu'aucun script du site de cette url, n'a positionné avant lui-même cette variable de session ?

Tout ceci, en supposant évidemment, que le nom et la valeur de cette variable de session, nécessaire à l'authentification, sont connus du visiteur.

Merci beaucoup à vous pour vos réponses.

Bien à vous.

Amicalement.

Jean-François Ortolo

 

[dmathieu]

La seule chose que l'utilisateur peut modifier lui-même, c'est l'identifiant de session.
Identifiant de session qui permet, côté serveur, de récupérer les variables qui sont stockées sur le serveur.

La seule solution pour l'utilisateur d'outrepasser ses droits et donc de se retrouver avec une session qui ne lui appartient pas, c'est de trouver un autre identifiant de session valide et de le changer.

Autant dire que les chances sont extrêmement faibles.
Les identifiants de session ont un vingtaine de caractères alphanumériques. Cela fait donc 35^20 possibilités. Faut un gros coup de bol

 

[ortolojf]

Merci beaucoup khazar

Donc, mon problème est résolu.

Le Directeur de mon site partenaire, va voir prochainement augmenter beaucoup les revenus de son site , car j'ai fait en sorte que la variable indiquant la réussite de l'authentification, ne puisse plus être transmise en mode GET, mais seulement en mode SESSION.

Pffoouu...

Je me demande encore, comment le précédent webmaster, a pu laisser passer un truc comme çà, lui qui était théoriquement ingénieur certifié MCP Microsoft ou mieux.

Lui, il travaille.

Par la même augmentation les stats de revenus de mon site partenaire, vont être plus significatifs, en me donnant des indications plus fiables, quant à ce que pourrait me rapporter mon propre site.

Et Monsieur Le Directeur va être content.

khazar, merci beaucoup de ta réponse.

Bien à toi.

Amicalement.

Jean-François Ortolo