Sécurité cookie : mon idée !

Https.

Tu peux pas éviter le vol de session sinon.

 

et si le visiteur vient via les réseaux mobiles, des milliers d'autres internautes ont la même adresse ip publique :wink:

 

Un article qui date un peu mais tjs intéressant: http://shiflett.org/articles/the-truth-about-sessions

 

Tu fait dans le domaine de la banque ou t'a juste du temps a perdre ?

 

aux mobiles, tu ajoutes les abonnées AOL, les utilisateurs de réseaux d'entreprises, qui n'auront qu'une seule ip publique et, en plus, beaucoup de postes avec exactement les mêmes UA, vu que les postes sont clonés.
Donc au niveau sécurité, pas vraiment convainquant. déjà, passe en https

 

donc en clair, l'essentiel de tes connexions est effectuée à partir de 19h, tu n'en as quasi aucune en journée ?

 

MITM => down

 

Et tu ne t'est jamais dit qu'un gars capable de renifler un cookies a la volée (ou de le lire sur une autre machine) pour le reproduire était aussi capable d'utiliser l'IP du gars qui c'est fait prendre le cookies pour surfer pépère sur ton site ?
Tu est en train de mettre en œuvre un coffre fort en laissant la clé sur la porte.

 

Aller une petite expérience, ta 2 pc chez toi?

Télécharge http://www.wireshark.org/, installe le sur un pc. Lance une capture.

Va depuis un autre pc sur ton site, ouvre tes yeux sur wireshark et regarde tes données passer en clair. J'en dirais pas plus, mets un certificat ssl.

 

peut-être parce qu'il n'y a pas d'intérêt à sécuriser autant du fait qu'aucune informations n'est réellement "intéressante" pour un voleur. Sur un abri de jardin trouverais-tu nécessaire de mettre une porte blindée et une alarme, alors que tu n'aurais qu'une brouette et une fourche à protéger ??

 

Simplement mis a part passer sur un protocole sécurisé qui cryptera l'échange et qui provoquera que tes trames seront incompréhensibles (sans les moyens de la Nasa) Toute personne qui analysera les trames passera outre ton idée et pourra interagir avec le site sans difficulté. Les autres (qui sont incapables de renifler entre autre) seront de toute façon incapables de faire quoi que ce soit même sans ton dispositif. D'où l’inutilité du concept.

Et puis aussi (avant même de chercher a violer un cookies) pense deux minute que sans Https, je vais attendre gentiment en écoutant que ton utilisateur passe sur la passe login... Et là ho miracle ! j'aurais son password sans me prendre la tête (pas la peine de sortir les armes). j'attendrai quelques temps qu'il aille jouer ailleurs et je me connecterai sans même chercher a me cacher.

Ensuite il faut te dire que la sécurité est a aborder sous l'angle du maillon faible. Sur le web ce maillon n'est pas le système mais l'utilisateur. Hors ton idée ne donne rien de plus a ce niveau.

pour protéger quoi ?

 

Et bien si tu te met en position de pouvoir écouter le trafic oui tu peut très bien intercepter toutes les informations de login que tu veux (si c'est pas du protocole sécurisé) et en faire ce que tu veux. Pour cela il y a différentes techniques, les vieux réseaux d'entreprise sur des hubs sont un exemple de fragilité a ce sujet. les célèbres chevaux de Troie sont un autre moyen d'écouter (pas directement), les réseaux sans fils sont aussi vulnérables car les ondes n'ont pas trop de frontière etc ... De plus piéger quelqu’un se révèle pas si compliqué que cela vu la culture moyenne de l'utilisateur Windows (je dis pas ça "contre crosoft" c'est juste que la banalisation qu'il a engendré a mis de très bon outils a la porté des malveillant).

Après ton système est vulnérable ne serais ce même si le cookies est lisible (et il l'est puisqu'il "voyage") puisque il suffira de forger des requêtes avec l'IP de l'utilisateur pour écouter la réponse serveur même si elle ne t'est pas destinée.

Le truc que j'essaie de te dire c'est qu'une personne avec la compétence passera facilement outre cette astuce (ça va juste le faire chier) alors que celui qui n'a pas la compétence ne rentrera pas de toute façon astuce ou pas (tant que tu reste sur un protocole pas sécurisé).

Après pour avoir un compte important, il est bien plus rentable de s'attaquer au serveur quand on connais un peu sa structure plutôt que d'essayer de "pister" l'admin (a moins que ce soit ton voisin et qu'il soit fan de wifi ).

 

euh, ben si : en fait le password on s'en fou dans ce cas, ce qui nous intéresse c'est juste les valeurs qui transitent entre le navigateur et le serveur. Donc tu fais ce que tu veux avant, la technique MITM récupère ton hash et s'en ressert ensuite.
En plus, sécuriser une appli avec js 8O :roll: :lol:
tu veux sécuriser ton interface ? https + htpasswd et ça roule :wink:

 

c'est quoi le but de se prendre la tête comme ça ? alors qu'avec https + htpasswd tu aurais, bien plus facilement, une sécurisation de la connexion ?

 

passer les cookies en mode "https uniquement"