[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure
From: |
Christophe Combelles |
Subject: |
Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure |
Date: |
Wed, 06 Jul 2005 11:21:18 +0200 |
User-agent: |
Mozilla Thunderbird 1.0.2 (X11/20050331) |
Bonjour,
Ce serait une bonne idée d'intégrer ça, il faudrait juste trouver un
truc pour remplacer $dolibarr_main_db_name parce qu'effectivement il
vaut mieux éviter de donner le nom de la db.
Qu'est-ce qu'on peut prendre, sachant que le nom de session doit être
obligatoirement alphanumérique, et qu'on veut qu'il soit unique vis à
vis de (...) ? Un truc du style login + nombre random ?
Christophe
Gael Canal a écrit :
> Je me réponds à moi même pour préciser qu'il faut aussi patcher le
> fichier user/logout.php de la même façon.
>
> $a = new DOLIAuth("DB");
> + $a->setSessionName($dolibarr_main_db_name);
> $a->setShowLogin (false);
> $a->start();
>
>
>
> Le mercredi 06 juillet 2005 à 00:31 +0200, Gael Canal a écrit :
>
>>Bonjour,
>>
>>En voulant installer une seconde instance de dolibarr sur un serveur
>>(avec une base de données différente), j'ai eu la surprise de découvrir
>>qu'un utilisateur authentifié sur l'une des instance pouvait accéder à
>>l'autre !
>>
>>Après étude du code, j'ai isolé le problème, qui provient du nom de la
>>session (par défaut PHPSESSID) qui est partagé entre les deux instance.
>>
>>Je me permet donc de vous proposer ce patch très simple qui alloue un
>>nom (celui de la bdd) à la session php, ce qui résoud ce problème..
>>
>>(le choix du nom de la bdd n'est pas optimum en terme de sécurité, mais
>>le principe est là).
>>
>>++
>>Gael
>>
>>--- orig/main.inc.php 2005-03-01 22:45:13.000000000 +0100
>>+++ patched/main.inc.php 2005-07-06 00:22:54.341801472 +0200
>>@@ -69,6 +69,7 @@
>> );
>>
>> $aDol = new DOLIAuth("DB", $params, "loginfunction");
>>+ $aDol->setSessionName($dolibarr_main_db_name);
>> $aDol->start();
>> $result = $aDol->getAuth();
>> if ($result)
>>
>>
>>
>>
>>_______________________________________________
>>Dolibarr-user mailing list
>>address@hidden
>>http://lists.nongnu.org/mailman/listinfo/dolibarr-user
>
>
>
>
> _______________________________________________
> Dolibarr-user mailing list
> address@hidden
> http://lists.nongnu.org/mailman/listinfo/dolibarr-user
>
>