[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Dolibarr-user] proposition patch sécurité / cookie non sécure
|
From: |
Gael Canal |
|
Subject: |
[Dolibarr-user] proposition patch sécurité / cookie non sécure |
|
Date: |
Wed, 06 Jul 2005 00:31:06 +0200 |
Bonjour,
En voulant installer une seconde instance de dolibarr sur un serveur
(avec une base de données différente), j'ai eu la surprise de découvrir
qu'un utilisateur authentifié sur l'une des instance pouvait accéder à
l'autre !
Après étude du code, j'ai isolé le problème, qui provient du nom de la
session (par défaut PHPSESSID) qui est partagé entre les deux instance.
Je me permet donc de vous proposer ce patch très simple qui alloue un
nom (celui de la bdd) à la session php, ce qui résoud ce problème..
(le choix du nom de la bdd n'est pas optimum en terme de sécurité, mais
le principe est là).
++
Gael
--- orig/main.inc.php 2005-03-01 22:45:13.000000000 +0100
+++ patched/main.inc.php 2005-07-06 00:22:54.341801472 +0200
@@ -69,6 +69,7 @@
);
$aDol = new DOLIAuth("DB", $params, "loginfunction");
+ $aDol->setSessionName($dolibarr_main_db_name);
$aDol->start();
$result = $aDol->getAuth();
if ($result)
- [Dolibarr-user] proposition patch sécurité / cookie non sécure,
Gael Canal <=