Merge branch 'dev' into blog_v3

CHANGES.md

@@ -23,6 +23,7 @@
     - Reformulation du mail de confirmation d'inscription.
     - Champ de sélection de fichiers, suppression de la couleur des URL lors d'un survol
 - Modifications :
+    - Sécurisation des deux cookies d'authentification (options httpOnly et secure).
     - La couleur du texte des headers avec un lien est celle des titres et non des liens.
 
 ## version 10.2.02

core/class/helper.class.php

@@ -219,7 +219,7 @@ class helper {
 	 */
 	public static function deleteCookie($cookieKey) {
 		unset($_COOKIE[$cookieKey]);
-		setcookie($cookieKey, '', time() - 3600, helper::baseUrl(false, false));
+		setcookie($cookieKey, '', time() - 3600, helper::baseUrl(false, false), '', false, true);
 	}
 
 	/**

core/module/user/user.php

@@ -388,9 +388,17 @@ class user extends common {
 				AND password_verify($this->getInput('userLoginPassword', helper::FILTER_STRING_SHORT, true), $this->getData(['user', $userId, 'password']))
 				AND $this->getData(['user', $userId, 'group']) >= self::GROUP_MEMBER
 			) {
+				// Protocol
+				$secure = false;
+				if(
+					(empty($_SERVER['HTTPS']) === false AND $_SERVER['HTTPS'] !== 'off')
+					OR $_SERVER['SERVER_PORT'] === 443
+				) {
+						$secure = true;
+				}
 				$expire = $this->getInput('userLoginLongTime') ? strtotime("+1 year") : 0;
-				setcookie('ZWII_USER_ID', $userId, $expire, helper::baseUrl(false, false));
-				setcookie('ZWII_USER_PASSWORD', $this->getData(['user', $userId, 'password']), $expire, helper::baseUrl(false, false));
+				setcookie('ZWII_USER_ID', $userId, $expire, helper::baseUrl(false, false), '', $secure, true);
+				setcookie('ZWII_USER_PASSWORD', $this->getData(['user', $userId, 'password']), $expire, helper::baseUrl(false, false), '', $secure, true);
 				// Accès multiples avec le même compte
 				$this->setData(['user',$userId,'accessCsrf',$_SESSION['csrf']]);
 				// Valeurs en sortie lorsque le site est en maintenance et que l'utilisateur n'est pas administrateur