Discussion :

[imikado]

D�couvrez dans cet article les r�gles � suivre pour s�curiser vos sites web, notamment avec le mkframework.
http://imikado.developpez.com/tutori...e-mkframework/

[miky55]

Salut,
J'ai bien aim� l'article puisqu'il passe sur � peu pr�s tous les points essentiels � la s�curit� d'un site web que ce soit avec ton framework, avec un autre framework php voir m�me un autre langage. Il pourra sensibiliser les d�veloppeurs d�butants ou amateurs qui rel�guent souvent la s�curit� en second plan...

Cela dit je trouve que le probl�me du vol de session est balay� bien trop rapidement, utiliser le flag httponly pour cette t�che n'est pas du tout suffisant. Mkframework utilise t-il d'autres m�canismes pour prot�ger les sessions? (v�rification user-agent et ip cot� serveur, rotation de l'id session, chiffrement etc...)

Tu aurais aussi pu parler de ssl et du flag secure qui force les cookies � transiter uniquement en https.

[imikado]

Salut,
J'ai bien aim� l'article puisqu'il passe sur � peu pr�s tous les points essentiels � la s�curit� d'un site web que ce soit avec ton framework, avec un autre framework php voir m�me un autre langage. Il pourra sensibiliser les d�veloppeurs d�butants ou amateurs qui rel�guent souvent la s�curit� en second plan...

Merci

Cela dit je trouve que le probl�me du vol de session est balay� bien trop rapidement, utiliser le flag httponly pour cette t�che n'est pas du tout suffisant. Mkframework utilise t-il d'autres m�canismes pour prot�ger les sessions? (v�rification user-agent et ip cot� serveur, rotation de l'id session, chiffrement etc...)

Tu aurais aussi pu parler de ssl et du flag secure qui force les cookies � transiter uniquement en https.

Effectivement, j'ai peut etre �t� un peu vite sur le sujet. Pour information toujours dans le fichier de configuration, on peut d�finir le param�tre "secure"

Code :

S�lectionner tout - Visualiser dans une fen�tre � part

1
2
3
4
5
6
7
8
9
[auth]
;note : >= php5.2 dans le php.ini
session.use_cookies = 1
session.use_only_cookies = 1
session.cookie_httponly=1
session.cookie_secure=0
session.cookie_domain=
session.cookie_path=
session.cookie_lifetime=

Ensuite en ce qui concerne les informations de v�rification de l'identit�, effectivement l'IP (depuis des ann�es) et le user agent (depuis le mois de septembre)