[Dolibarr-dev] [Fwd: proposition patch sécurité / cookie non sécure]

[Gael Canal]

Bonjour,

Désolé pour le crosspost, mais ces messages seront mieux logés sur la
liste dev.

J'ai un modèle de propale à proposer éventuellement... et si ma
contribution (en fonction de mes disponibilités) vous interesse, je me
propose.

++
Gael

-------- Message transféré --------
De: Gael Canal <address@hidden>
À: address@hidden
Objet: proposition patch sécurité / cookie non sécure
Date: Wed, 06 Jul 2005 00:31:06 +0200
Bonjour,

En voulant installer une seconde instance de dolibarr sur un serveur
(avec une base de données différente), j'ai eu la surprise de découvrir
qu'un utilisateur authentifié sur l'une des instance pouvait accéder à
l'autre !

Après étude du code, j'ai isolé le problème, qui provient du nom de la
session (par défaut PHPSESSID) qui est partagé entre les deux instance.

Je me permet donc de vous proposer ce patch très simple qui alloue un
nom (celui de la bdd) à la session php, ce qui résoud ce problème..

(le choix du nom de la bdd n'est pas optimum en terme de sécurité, mais
le principe est là).

++
Gael

--- orig/main.inc.php       2005-03-01 22:45:13.000000000 +0100
+++ patched/main.inc.php   2005-07-06 00:22:54.341801472 +0200
@@ -69,6 +69,7 @@
                      );

       $aDol = new DOLIAuth("DB", $params, "loginfunction");
+      $aDol->setSessionName($dolibarr_main_db_name);
       $aDol->start();
       $result = $aDol->getAuth();
       if ($result)


-------- Message transféré --------
De: Gael Canal <address@hidden>
À: Discussions sur l'utilisation de Dolibarr <address@hidden>
Objet: Re: [Dolibarr-user] proposition patch sécurité / cookie non sécure
Date: Wed, 06 Jul 2005 01:01:34 +0200
Je me réponds à moi même pour préciser qu'il faut aussi patcher le
fichier user/logout.php de la même façon.

  $a = new DOLIAuth("DB");
+ $a->setSessionName($dolibarr_main_db_name);
  $a->setShowLogin (false);
  $a->start();