Les cookies et la sécurité

Les attaques de type XSRF (cross-site request forgery): (croisement et falsification de demande intersite; nécessite un deuxième site mais celui-ci malveillant.. )

N.B.: Pas de cookie généré sur Place fresnoise généré, et surtout pas de cookie d’identification(connexion,...) ou sensible(mail,...) !

Pour comprendre comment fonctionne ce type d’attaques , considérons l’exemple suivant.
Imaginons que vous soyez connecté à un site marchand et que vous possédiez donc un cookie qui sert à vous identifier stocké dans votre navigateur.

Vous ouvrez un second onglet et allez sur un autre site. Ce site est un site MALVEILLANT qui possède un formulaire. Ce formulaire est directement envoyé sur le site marchand (en précisant son adresse ) et ses champs ont pour but de vous faire acheter quelque chose sur le premier site marchand et de façon transparante pour ce site marchand .

Lorsque vous validez le formulaire, celui-ci est directement envoyé sur le site marchand et votre navigateur envoie également votre cookie d’identification puisque celui-ci est envoyé à chaque fois que vous visitez ce site. Le site marchand vous identifie donc automatiquement et votre achat est effectué sans que vous ne l’ayez voulu. C’est le principe d’une attaque de type cross-site request forgery.

N.B.: Coté développement informatique,
Des solutions et des options permettent de se prémunir contre ce type d’attaque.
Sur Place fresnoise, pas d' utilisation(création,traitement,...) de cookie d’identification ou sensible(mail,...)
Donc pas de sujet ici .