Bug #15698
Forcer nouveau numéro de session après s'être loggué
Début:
30 mars 2017
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Oui
Planning:
Description
Noté au cours de #14510 :
pour parer à ça j'ai ajouté un session.id = None explicite dans le code du callback OIDC, je me dis qu'on devrait faire ça aussi en SAML et en login/mdp (sinon on est vulnérable à une attaque par fixation de session, exemple: je vais sur un poste public, je fais un ?session_var_que_je_connais=xxx (ou n'importe quoi d'autre qui stocke un truc en session), je note l'id de la session, j'attends que quelqu'un se log sur ce poste, je vais sur un autre, je pose le cookie que j'ai noté, magie je suis dans la session de la personne).
Fichiers
Demandes liées
Révisions associées
Historique
Mis à jour par Frédéric Péters il y a environ 7 ans
- Fichier 0001-sessions-force-new-session-id-on-login-15698.patch 0001-sessions-force-new-session-id-on-login-15698.patch ajouté
- Statut changé de Nouveau à En cours
- Patch proposed changé de Non à Oui
Mis à jour par Frédéric Péters il y a environ 7 ans
- Lié à Development #14510: ajouter une méthode d'authentification FranceConnect ajouté
Mis à jour par Benjamin Dauvergne il y a environ 7 ans
Ack. C'est la première, ensuite on verra pour le nettoyage des dico que tu suggères (extra_user_variables).
Mis à jour par Frédéric Péters il y a environ 7 ans
- Statut changé de En cours à Résolu (à déployer)
commit 8027cb034cb79a97631c555ad8ec9dc058971f77
Author: Frédéric Péters <fpeters@entrouvert.com>
Date: Thu Mar 30 14:08:06 2017 +0200
sessions: force new session id on login (#15698)
Mis à jour par Frédéric Péters il y a plus de 5 ans
- Statut changé de Résolu (à déployer) à Solution déployée
sessions: force new session id on login (#15698)