Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure

dolibarr-user

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure

From:	Christophe Combelles
Subject:	Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure
Date:	Wed, 06 Jul 2005 11:21:18 +0200
User-agent:	Mozilla Thunderbird 1.0.2 (X11/20050331)

Bonjour,

Ce serait une bonne idée d'intégrer ça, il faudrait juste trouver un
truc pour remplacer $dolibarr_main_db_name parce qu'effectivement il
vaut mieux éviter de donner le nom de la db.
Qu'est-ce qu'on peut prendre, sachant que le nom de session doit être
obligatoirement alphanumérique, et qu'on veut qu'il soit unique vis à
vis de (...) ? Un truc du style login + nombre random ?

Christophe

Gael Canal a écrit :
> Je me réponds à moi même pour préciser qu'il faut aussi patcher le
> fichier user/logout.php de la même façon.
> 
>   $a = new DOLIAuth("DB");
> + $a->setSessionName($dolibarr_main_db_name);
>   $a->setShowLogin (false);
>   $a->start();
> 
> 
> 
> Le mercredi 06 juillet 2005 à 00:31 +0200, Gael Canal a écrit :
> 
>>Bonjour,
>>
>>En voulant installer une seconde instance de dolibarr sur un serveur
>>(avec une base de données différente), j'ai eu la surprise de découvrir
>>qu'un utilisateur authentifié sur l'une des instance pouvait accéder à
>>l'autre !
>>
>>Après étude du code, j'ai isolé le problème, qui provient du nom de la
>>session (par défaut PHPSESSID) qui est partagé entre les deux instance.
>>
>>Je me permet donc de vous proposer ce patch très simple qui alloue un
>>nom (celui de la bdd) à la session php, ce qui résoud ce problème..
>>
>>(le choix du nom de la bdd n'est pas optimum en terme de sécurité, mais
>>le principe est là).
>>
>>++
>>Gael
>>
>>--- orig/main.inc.php       2005-03-01 22:45:13.000000000 +0100
>>+++ patched/main.inc.php   2005-07-06 00:22:54.341801472 +0200
>>@@ -69,6 +69,7 @@
>>                      );
>>
>>       $aDol = new DOLIAuth("DB", $params, "loginfunction");
>>+      $aDol->setSessionName($dolibarr_main_db_name);
>>       $aDol->start();
>>       $result = $aDol->getAuth();
>>       if ($result)
>>
>>
>>
>>
>>_______________________________________________
>>Dolibarr-user mailing list
>>address@hidden
>>http://lists.nongnu.org/mailman/listinfo/dolibarr-user
> 
> 
> 
> 
> _______________________________________________
> Dolibarr-user mailing list
> address@hidden
> http://lists.nongnu.org/mailman/listinfo/dolibarr-user
> 
>

[Prev in Thread]

Current Thread

[Next in Thread]

[Dolibarr-user] proposition patch sécurité / cookie non sécure, Gael Canal, 2005/07/05
- Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure, Gael Canal, 2005/07/05
  - Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure, Christophe Combelles <=
  - Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure, Laurent Destailleur (Eldy), 2005/07/06

Prev by Date: Re: [Dolibarr-user] Facture d'après propale
Next by Date: [Dolibarr-user] Pdf pour une fiche expédition
Previous by thread: Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure
Next by thread: Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure
Index(es):
- Date
- Thread