Mauvaise gestion des sessions

Les sessions permettent de conserver du côté du serveur des informations sur la session actuelle de l'utilisateur.

Généralement un cookie contient l'identifiant de la session et permet à chaque requête HTTP/HTTPS de récupérer ses informations de session.

Le développeur devra donc s'assurer pour protéger ses sessions que :

• Toutes les transactions entre le client et le serveur sont chiffrées
• S'assurer que les mécanismes de chiffrement sont à jour (voir le problème de Heartbleed
• Les certificats ne doivent pas être "auto-signé" mais émané d'une autorité de certification (comme par exemple Go Daddy
• Toutes les données sensibles doivent être hachées avec MD5 ou SHAx
• S'assurer que les données de sessions soient bien détruites à la fin d'une connexion

De la même façon les délais d'expiration doivent être réglés correctement :

• Le délai d'inactivité
• Le temps maximal de la session
• Supprimer l'ensemble de la session en cas d'authentification d'un nouvel utilisateur

Continuer »