Sécurité cookie : mon idée !

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par michel.leonard, 8 Avril 2012.

  1. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    Salut chers WRInautes, je vous présente mon stratagème pour protéger au mieux un cookie, évidemment le procédé comme toute solution programmée n'est pas inviolable ..
    Si le visiteur a ouvert 2 pages ou plus sur le site à 30 minutes d'intervalle et que la même ip à été détectée alors on peut considérer son ip comme semi-fixe. Si l'ip est semi fixe elle est intégrée dans le cookie sous forme de hash...

    Voilà, si un visiteur dispose d'une ip "semi fixe" et qu'il a passé plus de 30 min sur le site, aucune autre adresse ip ne peut prétendre voler le cookie... C'est déjà pas mal non ?
     
  2. _Soul
    _Soul WRInaute impliqué
    Inscrit:
    26 Avril 2011
    Messages:
    626
    J'aime reçus:
    0
    Https.

    Tu peux pas éviter le vol de session sinon.
     
  3. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 414
    J'aime reçus:
    0
    et si le visiteur vient via les réseaux mobiles, des milliers d'autres internautes ont la même adresse ip publique :wink:
     
  4. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 119
    J'aime reçus:
    317
  5. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    il est possible de hacker cette minorité d'utilisateurs mobile, mais la majorité est sécurisée... comme je l'ai précisé ça n'est pas infaillible
     
  6. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 187
    J'aime reçus:
    1
    Tu fait dans le domaine de la banque ou t'a juste du temps a perdre ?
     
  7. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 414
    J'aime reçus:
    0
    aux mobiles, tu ajoutes les abonnées AOL, les utilisateurs de réseaux d'entreprises, qui n'auront qu'une seule ip publique et, en plus, beaucoup de postes avec exactement les mêmes UA, vu que les postes sont clonés.
    Donc au niveau sécurité, pas vraiment convainquant. déjà, passe en https
     
  8. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    disons que pour un site d'annonces en ligne plus de 60% des utilisateurs devraient avoir une ip "quasi unique" c'est a dire à la maison chez eux. C'est déjà une première protection rassurante et sympa que de savoir que si on se connecte de chez soi, le système est "quasi inviolable".
     
  9. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 414
    J'aime reçus:
    0
    donc en clair, l'essentiel de tes connexions est effectuée à partir de 19h, tu n'en as quasi aucune en journée ?
     
  10. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    je ne dis pas cela mais je dis que si un utilisateur souhaite maximiser la sécurité de sa connexion il peut se connecter a partir de son poste personnel, sinon, il peut parcourir les annonces du site, mais de préférence, ne doit pas se loguer , ou peut le faire a ses risques et périls... j'envisage également le fait que l'utilisateur qui souhaiterai tout de même se connecter sur un poste public reçoive un cookie a utilisation limitée pour une durée de 27 minutes pour interagir sur le site durant ce court laps de temps. (certes suffisant a un hacker pour manipuler le compte du client)
     
  11. sonn
    sonn WRInaute discret
    Inscrit:
    9 Mars 2012
    Messages:
    70
    J'aime reçus:
    0
    MITM => down
     
  12. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 187
    J'aime reçus:
    1
    Et tu ne t'est jamais dit qu'un gars capable de renifler un cookies a la volée (ou de le lire sur une autre machine) pour le reproduire était aussi capable d'utiliser l'IP du gars qui c'est fait prendre le cookies pour surfer pépère sur ton site ?
    Tu est en train de mettre en œuvre un coffre fort en laissant la clé sur la porte.
     
  13. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    oui c'est possible, mais contre ça je ne vois pas bien quelle parade programmable est possible... Tout comme si le hacker vient menacer l'utilisateur chez lui avec une arme afin de lui voler son compte, je n'ai pas la solution non plus...
     
  14. _Soul
    _Soul WRInaute impliqué
    Inscrit:
    26 Avril 2011
    Messages:
    626
    J'aime reçus:
    0
    Aller une petite expérience, ta 2 pc chez toi?

    Télécharge http://www.wireshark.org/, installe le sur un pc. Lance une capture.

    Va depuis un autre pc sur ton site, ouvre tes yeux sur wireshark et regarde tes données passer en clair. J'en dirais pas plus, mets un certificat ssl.
     
  15. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    j'ai déja essayé ça... je connais un peu ce prog, effectivement, mais pourquoi WRI n'est pas en https ?
     
  16. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 414
    J'aime reçus:
    0
    peut-être parce qu'il n'y a pas d'intérêt à sécuriser autant du fait qu'aucune informations n'est réellement "intéressante" pour un voleur. Sur un abri de jardin trouverais-tu nécessaire de mettre une porte blindée et une alarme, alors que tu n'aurais qu'une brouette et une fourche à protéger ??
     
  17. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 187
    J'aime reçus:
    1
    Simplement mis a part passer sur un protocole sécurisé qui cryptera l'échange et qui provoquera que tes trames seront incompréhensibles (sans les moyens de la Nasa) Toute personne qui analysera les trames passera outre ton idée et pourra interagir avec le site sans difficulté. Les autres (qui sont incapables de renifler entre autre) seront de toute façon incapables de faire quoi que ce soit même sans ton dispositif. D'où l’inutilité du concept.

    Et puis aussi (avant même de chercher a violer un cookies) pense deux minute que sans Https, je vais attendre gentiment en écoutant que ton utilisateur passe sur la passe login... Et là ho miracle ! j'aurais son password sans me prendre la tête (pas la peine de sortir les armes). j'attendrai quelques temps qu'il aille jouer ailleurs et je me connecterai sans même chercher a me cacher.

    Ensuite il faut te dire que la sécurité est a aborder sous l'angle du maillon faible. Sur le web ce maillon n'est pas le système mais l'utilisateur. Hors ton idée ne donne rien de plus a ce niveau.

    pour protéger quoi ?
     
  18. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    merci pour vos belles réponses, c'est sympa de votre part.

    - le compte admin et les comptes modérateurs.
    - vos beaux petits comptes avec parfois plusieurs milliers de messages.

    Donc théoriquement, cher zeb, je peux te voler ton compte ? Je ne vais pas le faire mais dans l'absolu c'est facilement faisable ?
     
  19. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 187
    J'aime reçus:
    1
    Et bien si tu te met en position de pouvoir écouter le trafic oui tu peut très bien intercepter toutes les informations de login que tu veux (si c'est pas du protocole sécurisé) et en faire ce que tu veux. Pour cela il y a différentes techniques, les vieux réseaux d'entreprise sur des hubs sont un exemple de fragilité a ce sujet. les célèbres chevaux de Troie sont un autre moyen d'écouter (pas directement), les réseaux sans fils sont aussi vulnérables car les ondes n'ont pas trop de frontière etc ... De plus piéger quelqu’un se révèle pas si compliqué que cela vu la culture moyenne de l'utilisateur Windows (je dis pas ça "contre crosoft" c'est juste que la banalisation qu'il a engendré a mis de très bon outils a la porté des malveillant).

    Après ton système est vulnérable ne serais ce même si le cookies est lisible (et il l'est puisqu'il "voyage") puisque il suffira de forger des requêtes avec l'IP de l'utilisateur pour écouter la réponse serveur même si elle ne t'est pas destinée.

    Le truc que j'essaie de te dire c'est qu'une personne avec la compétence passera facilement outre cette astuce (ça va juste le faire chier) alors que celui qui n'a pas la compétence ne rentrera pas de toute façon astuce ou pas (tant que tu reste sur un protocole pas sécurisé).

    Après pour avoir un compte important, il est bien plus rentable de s'attaquer au serveur quand on connais un peu sa structure plutôt que d'essayer de "pister" l'admin (a moins que ce soit ton voisin et qu'il soit fan de wifi :D ).
     
  20. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    PS : mon site est un genre de leboncoin, façon youtube avec une chaîne propre a chaque user... donc voila c'est pas la NASA non plus...
     
  21. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    et encore, la NASA c'est pas le FBI ... :lol:
     
  22. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    et au fait le password n'est pas envoyé en clair mais il est hashé et salté par js convenablement en ajoutant une constante de temps "imprévisible" , donc si tu écoutes , tu vois des hash transiter... mais impossible de les réutiliser...
     
  23. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 414
    J'aime reçus:
    0
    euh, ben si : en fait le password on s'en fou dans ce cas, ce qui nous intéresse c'est juste les valeurs qui transitent entre le navigateur et le serveur. Donc tu fais ce que tu veux avant, la technique MITM récupère ton hash et s'en ressert ensuite.
    En plus, sécuriser une appli avec js 8O :roll: :lol:
    tu veux sécuriser ton interface ? https + htpasswd et ça roule :wink:
     
  24. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    dis moi ou est la faille:

    la page du site est : znEWa68.com/login-12uxG.htm
    le fameux 12uxG est un ID unique valable 1 minute.
    L'user se logue, je concatène Password+Salt+ID+Username , le md5 (js) du tout est envoyé au serveur.
    L'id n'est plus utilisable (restriction coté serveur).
    Le serveur envoie un script JS au client lui permettant de générer un cookie une seule fois avec son ID.
    Le serveur vérifie si c'est bien la première fois que le cookie est généré a partir de cet algorithme unique.
    Si c'est bien le cas le serveur envoie un cookie de contrôle en clair.
    Si l'utilisateur dispose du bon cookie de contrôle, et que JS à généré le bon cookie unique, l'utilisateur est authentique.
    Si l'utilisateur n'est pas compatible JS , qu'il aille sur leboncoin :lol:

    Ou est l'erreur ? Je suis pourtant persuadé qu'il y en a une...
     
  25. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 414
    J'aime reçus:
    0
    c'est quoi le but de se prendre la tête comme ça ? alors qu'avec https + htpasswd tu aurais, bien plus facilement, une sécurisation de la connexion ?
     
  26. michel.leonard
    michel.leonard WRInaute occasionnel
    Inscrit:
    1 Juin 2010
    Messages:
    366
    J'aime reçus:
    0
    dites moi, ya quelque chose de spécial pour travailler avec https , ca y est mon site https est accessible... et maintenant alors je peut faire SETCOOKIE en php et les infos qui transitent sont indéchifrables ?
     
  27. sonn
    sonn WRInaute discret
    Inscrit:
    9 Mars 2012
    Messages:
    70
    J'aime reçus:
    0
    passer les cookies en mode "https uniquement"
     
Chargement...
Similar Threads - Sécurité cookie idée Forum Date
sécurité avec htaccess URL Rewriting et .htaccess 18 Décembre 2020
La CNIL peut elle attaquer une entreprise pour non respect des recommandations de sécurité Droit du web (juridique, fiscalité...) 13 Janvier 2020
Responsabilité du développeur dans la mise en conformité CNIL en terme de sécurité des mots de passe Droit du web (juridique, fiscalité...) 13 Janvier 2020
WordPress Avis sécurité URL Rewriting et .htaccess 30 Juin 2019
Avertissements de sécurité pour Chrome Débuter en référencement 18 Août 2017
Avertissements de sécurité SSL (HTTPS) dans Chrome 62 Développement d'un site Web ou d'une appli mobile 18 Août 2017
Probleme de sécurité signalé sur la search console de Google Google Analytics 8 Août 2016
Contrôle de sécurité Facebook 24 Juillet 2015
Sécurité : encore un impair pour Google Google : l'entreprise, les sites web, les services 15 Mars 2015
Outils pour tester d'éventuelles failles de sécurité sur notre site? Développement d'un site Web ou d'une appli mobile 20 Janvier 2015