Aller au contenu
Support de Zwii
  • 0
kryss

Sécurisation des cookies

Question

Bonsoir tout le monde, soucieux de l'optimisation de mon site, je vérifie régulièrement la notation attribuée par Ionos, anciennement 1and1

Un défaut que je n'arrive pas à corriger par moi même :
Sécurisez vos cookies
Certains des cookies utilisés sur votre site ne sont pas sûrs, des tiers peuvent y accéder via JavaScript. Ceci facilite la tâche d'un pirate qui souhaite accéder à vos données clients par exemple.

Dans la plupart des cas, il n'est pas nécessaire que les applications aient accès aux cookies déjà installés sur le navigateur. C'est pourquoi il est possible de choisir si un cookie sera disponible sur un navigateur.

Pour cela, utilisez le flag HttpOnly dans Set-Cookie-Response-Header:
Set-Cookie: MonCookie=MaValeur; path=/; HttpOnly
Si vous utilisez PHP, vous pouvez intégrer le flag avec la fonction setcookie(). PHP utilise déjà des Session-Cookies, que vous pouvez paramétrer avec la fonction session_set_cookie_params().

Une idée de l'endroit où je dois intégrer cette balise ?

Les 100% ne sont pas si loin. 
 
D'avance merci
 
107909495_913339319166481_49370068237344

Partager ce message


Lien à poster
Partager sur d’autres sites

5 réponses à cette question

Messages recommandés

  • 0
Il y a 19 heures, kryss a dit :

Une idée de l'endroit où je dois intégrer cette balise ?

 

La création des cookies identifiant l'utilisateur se fait dans :
./core/module/user/user.php

 

Que tu peux modifier comme ceci :

setcookie('ZWII_USER_ID', $userId, $expire, helper::baseUrl(false, false), httponly);
setcookie('ZWII_USER_PASSWORD', $this->getData(['user', $userId, 'password']), $expire, helper::baseUrl(false, false), httponly);

Mais à mon avis ce n'est pas utile de le faire, ces cookies étant inexploitables.

 

Edit : après test en local, il s'avère que la modification ci-dessus empêche l'utilisation de l'interface d'admin, donc ce n'est pas seulement inutile, mais non fonctionnel

 

La sécurisation demandée s'intègre dans : ./index.php avant l'ouverture de session , mais tout ce qui entraine une modification externe du php.ini est d'ordinaire bloqué sur les serveurs mutualisés, donc à tester sur ton site :

 

/**
 * Initialisation de Zwii
 */
session_set_cookie_params('httponly');
session_start();
// Chargement des classes
require 'core/class/autoload.php';
autoload::autoloader();
// Chargement du coeur
require 'core/core.php';
$core = new core;
spl_autoload_register('core::autoload');
echo $core->router();

Ceci devrait éviter le vol de session en récupérant le cookie à l'aide d'un script, les autres cookies ne sont pas exploitables, à mon sens, pour une attaque (le mdp est crypté)

Note que je ne précise pas les n° de lignes, qui peuvent être différentes sur ta version du CMS

 

Mais peut-être serait-ce intéressant d’ajouter cette modification sur la prochaine version ?

Car, contrairement à d'autres demandes, celle-ci peut permettre à tout le monde d’en profiter !

Mais, seul @Fred peut le décider

 

Par ailleurs, je viens de parcourir ton joli site, qui nest pas à jour, mais ça tu dois le savoir, et tu dois aussi savoir que la dernière version du CMS apporte de nombreuses améliorations, et tu peux remplacer avantageusement le zwiiper (bugué) par le très bon module Diaporama Slider : 

Ensuite, ta galerie d'image a un comportement anormal, tes très belles images s'ouvrent dans la page, la remplaçant ainsi, plutôt que de s'ouvrir dans la lightbox, tel que la conception de cette galerie le permet, si tu souhaites garder cette ancienne version de ZwiiCMS, je t'invite à remplacer ce module par une ancienne version, compatible avec les versions 9 du CMS, du module Album, la dernière version compatible avec ZwiiCMS 9.2.x est la version 1.0.b, toujours téléchargeable :

 

Sur la page présentant les photos en miniatures, le remplacement des images en pleine résolution, contraintes en dimensions et rognées, par des vignettes légères de haute qualité, permettra à tes visiteurs de pouvoir afficher ta galerie, même avec une connexion à Internet en bas débit, et je pense que dans le même temps le pb de la non utilisation de la lightbox sera résolu

 

17917870_212105872623166_702866230735922

Modifié par Gilux

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Bonjour,

Après le message de @kryss, j'ai effectué quelques essais et les désagréments sont multiples comme le risque de ne plus pouvoir se connecter.

Comme le précise @Gilux, le seul risque encouru serait un vol de l'id de connexion. Désormais la sécurisation du login avec la limitation du nombre de tentatives limite fortement les attaques par brute force (découverte du mot de passe basée sur un dictionnaire), on en restera là à défaut.

Concernant votre site, je vous conseillerais d'enlever le bouton de connexion dans la barre de menu et de tenir à jour la version installée.

Citation

  Sur la page présentant les photos en miniatures, le remplacement des images en pleine résolution, contraintes en dimensions et rognées, par des vignettes légères de haute qualité, permettra à tes visiteurs de pouvoir afficher ta galerie, même avec une connexion à Internet en bas débit, et je pense que dans le même temps le pb de la non utilisation de la lightbox sera résolu

Tout à fait d'accord, pour chaque image, il faut une miniature autour de 640x480 avec une compression forte pour alléger et une lightbox vers l'image en taille réelle  pas au-dessus de 1900 px de large.

C'est une erreur que l'on rencontre souvent et qui a de lourdes conséquences sur la visibilité.

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0

Bonjour @kryss et @Gilux,

Pouvez-vous tester ceci ? La modification sécurise le cookie avec les deux paramètres :

httponly : qui interdit la lecteur des cookies d'authentification autrement que par http

secure : qui envoie le cookie en TLS si le site est en https

Ainsi vous devriez atteindre les 100%

Les fichiers à copier sont dans /core/module/user inutile de transférer la totalité de l'archive.

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0
Il y a 4 heures, Fred a dit :

httponly : qui interdit la lecteur des cookies d'authentification autrement que par http

secure : qui envoie le cookie en TLS si le site est en https

 

Testé en local : OK pour les 2 cookies ZWII_USER_ID et ZWII_USER_PASSWORD

[
    {
        "domain": "localhost",
        "name": "ZWII_USER_PASSWORD",
        "value": "%242y%2410%24R.tyj65468sIDIUY56486KFTt65j65.468UTDYT7979FYTFu5468fjytdfg65fg6",
        "path": "/websites/ZwiiCMS-latest/",
        "secure": false,
        "session": true,
        "httpOnly": true,
        "hostOnly": true,
        "firstPartyDomain": "",
        "storeId": "firefox-default"
    }
]

localhost étant en http le cookie n'est pas exploité en TLS 

Partager ce message


Lien à poster
Partager sur d’autres sites
  • 0
il y a une heure, Gilux a dit :

Testé en local : OK pour les 2 cookies ZWII_USER_ID et ZWII_USER_PASSWORD


[
    {
        "domain": "localhost",
        "name": "ZWII_USER_PASSWORD",
        "value": "%242y%2410%24R.tyj65468sIDIUY56486KFTt65j65.468UTDYT7979FYTFu5468fjytdfg65fg6",
        "path": "/websites/ZwiiCMS-latest/",
        "secure": false,
        "session": true,
        "httpOnly": true,
        "hostOnly": true,
        "firstPartyDomain": "",
        "storeId": "firefox-default"
    }
]

localhost étant en http le cookie n'est pas exploité en TLS 

C’est normal, secure  ne fonctionne qu’avec TLS. Pour bien faire, il faudra ajouter l’option samesite. 

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à cette question…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


  • Contenu similaire

    • Par McGregor
      Voir le fichier Shortpixel
      Fichier supprimé par son propriétaire.
       
       
       
      Contributeur McGregor Soumis 31/03/2018 Catégorie Le cimetière des scripts  
×
×
  • Créer...