Sécurité de session PHP

Translate

Quelles sont les directives pour maintenir une sécurité de session responsable avec PHP? Il y a des informations partout sur le Web et il est temps que tout arrive au même endroit!

This question and all comments follow the "Attribution Required."

Toutes les réponses

Translate

Il y a plusieurs choses à faire pour sécuriser votre session:

  1. Utilisez SSL pour authentifier les utilisateurs ou effectuer des opérations sensibles.
  2. Régénérez l'ID de session chaque fois que le niveau de sécurité change (comme la connexion). Vous pouvez même régénérer l'identifiant de session à chaque demande si vous le souhaitez.
  3. Les sessions expirent
  4. N'utilisez pas de registre global
  5. Stockez les détails d'authentification sur le serveur. Autrement dit, n'envoyez pas de détails tels que le nom d'utilisateur dans le cookie.
  6. Vérifier la$_SERVER['HTTP_USER_AGENT']. Cela ajoute un petit obstacle au détournement de session. Vous pouvez également vérifier l'adresse IP. Mais cela pose des problèmes aux utilisateurs qui ont une adresse IP changeante en raison de l'équilibrage de charge sur plusieurs connexions Internet, etc. (ce qui est le cas dans notre environnement ici).
  7. Verrouiller l'accès aux sessions sur le système de fichiers ou utiliser la gestion de session personnalisée
  8. Pour les opérations sensibles, envisagez de demander aux utilisateurs connectés de fournir à nouveau leurs informations d'authentification
La source
Translate

Une ligne directrice est d'appelersession_regenerate_idchaque fois que le niveau de sécurité d'une session change. Cela permet d'éviter le détournement de session.

La source
Translate

Mes deux (ou plus) centimes:

  • Ne fais confiance a personne
  • Entrée de filtre, sortie d'échappement (cookie, données de session sont également votre entrée)
  • Évitez XSS (gardez votre HTML bien formé, jetez un œil àPHPTALouHTMLPurifier)
  • Défense en profondeur
  • Ne pas exposer les données

Il y a un petit mais bon livre sur ce sujet:Sécurité PHP essentielle par Chris Shiflett.

Sécurité PHP essentielle http://shiflett.org/images/essential-php-security-small.png

Sur la page d'accueil du livre, vous trouverez des exemples de code intéressants et des exemples de chapitres.

Vous pouvez utiliser la technique mentionnée ci-dessus (IP et UserAgent), décrite ici:Comment éviter le vol d'identité

La source
Translate

Je pense que l'un des problèmes majeurs (qui est abordé dans PHP 6) est register_globals. À l'heure actuelle, l'une des méthodes standard utilisées pour éviterregister_globalsest d'utiliser le$_REQUEST, $_GETou$_POSTtableaux.

La façon «correcte» de le faire (à partir de la version 5.2, bien que ce soit un peu bogué là-bas, mais stable à partir de 6, qui arrive bientôt) est defiltres.

Donc au lieu de:

$username = $_POST["username"];

vous feriez:

$username = filter_input(INPUT_POST, 'username', FILTER_SANITIZE_STRING);

ou même simplement:

$username = filter_input(INPUT_POST, 'username');
La source
Translate

Ce document de fixation de sessiona de très bons indicateurs où l'attaque peut venir. Voir égalementpage de fixation de session sur Wikipedia.

La source
Translate

L'utilisation d'une adresse IP n'est pas vraiment la meilleure idée de mon expérience. Par exemple; mon bureau a deux adresses IP qui sont utilisées en fonction de la charge et nous rencontrons constamment des problèmes avec les adresses IP.

Au lieu de cela, j'ai opté pour le stockage des sessions dans une base de données distincte pour les domaines sur mes serveurs. De cette façon, personne sur le système de fichiers n'a accès à ces informations de session. Cela a été vraiment utile avec phpBB avant la version 3.0 (ils ont depuis corrigé ce problème) mais c'est toujours une bonne idée, je pense.

La source
Translate

C'est assez trivial et évident, mais assurez-vous desession_destroyaprès chaque utilisation. Cela peut être difficile à implémenter si l'utilisateur ne se déconnecte pas explicitement, de sorte qu'une minuterie peut être définie pour ce faire.

Voici un bonDidacticielsur setTimer () et clearTimer ().

La source
Translate

Le principal problème avec les sessions PHP et la sécurité (outre le détournement de session) vient de l'environnement dans lequel vous vous trouvez. Par défaut, PHP stocke les données de session dans un fichier dans le répertoire temporaire du système d'exploitation. Sans aucune réflexion ou planification particulière, il s'agit d'un répertoire lisible dans le monde entier, de sorte que toutes les informations de votre session sont publiques à toute personne ayant accès au serveur.

Quant au maintien des sessions sur plusieurs serveurs. À ce stade, il serait préférable de basculer PHP vers des sessions gérées par l'utilisateur où il appelle vos fonctions fournies à CRUD (créer, lire, mettre à jour, supprimer) les données de session. À ce stade, vous pouvez stocker les informations de session dans une base de données ou une solution de type Memcache afin que tous les serveurs d'applications aient accès aux données.

Le stockage de vos propres sessions peut également être avantageux si vous êtes sur un serveur partagé car cela vous permettra de le stocker dans la base de données sur laquelle vous avez souvent plus de contrôle que le système de fichiers.

La source
Translate

J'ai organisé mes sessions comme ça-

sur la page de connexion:

$_SESSION['fingerprint'] = md5($_SERVER['HTTP_USER_AGENT'] . PHRASE . $_SERVER['REMOTE_ADDR']);

(phrase définie sur une page de configuration)

puis sur l'en-tête qui se trouve dans le reste du site:

session_start();
if ($_SESSION['fingerprint'] != md5($_SERVER['HTTP_USER_AGENT'] . PHRASE . $_SERVER['REMOTE_ADDR'])) {       
    session_destroy();
    header('Location: http://website login page/');
    exit();     
}
La source
Translate

php.ini

session.cookie_httponly = 1
change session name from default PHPSESSID

eq Apache add en-tête:

X-XSS-Protection    1
La source
Translate

Je vérifierais à la fois l'IP et l'agent utilisateur pour voir s'ils changent

if ($_SESSION['user_agent'] != $_SERVER['HTTP_USER_AGENT']
    || $_SESSION['user_ip'] != $_SERVER['REMOTE_ADDR'])
{
    //Something fishy is going on here?
}
La source
Translate

Si vous utilisezsession_set_save_handler ()vous pouvez définir votre propre gestionnaire de session. Par exemple, vous pouvez stocker vos sessions dans la base de données. Reportez-vous aux commentaires de php.net pour des exemples de gestionnaire de session de base de données.

Les sessions de base de données sont également utiles si vous avez plusieurs serveurs, sinon si vous utilisez des sessions basées sur des fichiers, vous devez vous assurer que chaque serveur Web a accès au même système de fichiers pour lire / écrire les sessions.

La source
Translate

Vous devez vous assurer que les données de session sont en sécurité. En regardant votre php.ini ou en utilisant phpinfo (), vous pouvez trouver vos paramètres de session. _session.save_path_ vous indique où ils sont enregistrés.

Vérifiez l'autorisation du dossier et de ses parents. Il ne doit pas être public (/ tmp) ou accessible par d'autres sites Web sur votre serveur partagé.

En supposant que vous souhaitiez toujours utiliser la session php, vous pouvez configurer php pour utiliser un autre dossier en modifiant _session.save_path_ ou enregistrer les données dans la base de données en modifiant _session.save_handler_.

Vous pourrez peut-être définir _session.save_path_ dans votre php.ini (certains fournisseurs le permettent) ou pour apache + mod_php, dans un fichier .htaccess dans le dossier racine de votre site:php_value session.save_path "/home/example.com/html/session". Vous pouvez également le définir au moment de l'exécution avec _session_save_path () _.

VérifierTutoriel de Chris ShiflettouZend_Session_SaveHandler_DbTableà définir et autre gestionnaire de session.

La source