7.94.2 Sessions et sécurité
Lien externe : Session fixation
Utiliser les sessions ne signifie pas que les données de session ne
pourront être vue que par un seul utilisateur. Il est important de
garder cela en tête, lorsque vous stockez et affichez des données
importantes. Lorsque vous stockez des données dans une session,
il faut se demander quels seront les problèmes posés si quelqu'un
d'autre accède à cette information, ou comment votre application
est affectée si la session est en fait celle d'un autre.
Par exemple, si quelqu'un usurpe une session, il peut alors poster
un message dans un forum sous une fausse identitée. Quelle est la
gravité de ce problème? Ou bien, il peut accèder aux commandes
d'un client, et même, modifier son panier d'achat. A priori, c'est
moins problématique pour un fleuriste que pour un pharmacien.
Par conséquent, lorsque vous manipulez des données importantes,
il faut exploiter d'autres méthodes pour décider si une session
est valide ou pas. Les sessions ne fournissent pas une méthode
fiable d'authentification.
Les sessions reposent sur un identifiant de session, ce qui signifie
que quelqu'un peut voler cet identifiant, rien qu'en volant l'ID. Ce vol
peut être rendu très difficile, comme par exemple en utilisant les
cookies, mais en aucun cas cela sera impossible. Les sessions dépendent
aussi de la discipline de l'utilisateur qui referme son navigateur
à la fin de la session pour tout clore proprement.
De plus, même les cookies de session peuvent être
surveillés sur un réseau, ou bien notés par un proxy.
|