[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure
From: |
Gael Canal |
Subject: |
Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure |
Date: |
Wed, 06 Jul 2005 01:01:34 +0200 |
Je me réponds à moi même pour préciser qu'il faut aussi patcher le
fichier user/logout.php de la même façon.
$a = new DOLIAuth("DB");
+ $a->setSessionName($dolibarr_main_db_name);
$a->setShowLogin (false);
$a->start();
Le mercredi 06 juillet 2005 à 00:31 +0200, Gael Canal a écrit :
> Bonjour,
>
> En voulant installer une seconde instance de dolibarr sur un serveur
> (avec une base de données différente), j'ai eu la surprise de découvrir
> qu'un utilisateur authentifié sur l'une des instance pouvait accéder à
> l'autre !
>
> Après étude du code, j'ai isolé le problème, qui provient du nom de la
> session (par défaut PHPSESSID) qui est partagé entre les deux instance.
>
> Je me permet donc de vous proposer ce patch très simple qui alloue un
> nom (celui de la bdd) à la session php, ce qui résoud ce problème..
>
> (le choix du nom de la bdd n'est pas optimum en terme de sécurité, mais
> le principe est là).
>
> ++
> Gael
>
> --- orig/main.inc.php 2005-03-01 22:45:13.000000000 +0100
> +++ patched/main.inc.php 2005-07-06 00:22:54.341801472 +0200
> @@ -69,6 +69,7 @@
> );
>
> $aDol = new DOLIAuth("DB", $params, "loginfunction");
> + $aDol->setSessionName($dolibarr_main_db_name);
> $aDol->start();
> $result = $aDol->getAuth();
> if ($result)
>
>
>
>
> _______________________________________________
> Dolibarr-user mailing list
> address@hidden
> http://lists.nongnu.org/mailman/listinfo/dolibarr-user