[Sécurité] N'arrive pas à clôturer une session

fabrice1596 · 20/03/2006, 22h24

Bonjour,

je n'arrive pas à clôturer ma session.
Une fois que je quitte ma session, si je fait un back dans mon browser, j'ai de nouveau accès aux pages du site!

Pourtant pour mettre fin à la session je fait :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
session_unset();
session_destroy();
session_write_close();

Par contre si je ferme le browser, là la session est bien clôturée car je n'ai plus accès aux pages du site.

Quelqu'un peut m'aider?

David Guillot · 20/03/2006, 23h07

c'est le cache du browser qui fait ça. ta page est mise en cache disque, donc le visiteur a l'impression que la session n'est pas detruite, mais elle l'est sur le serveur. il a simplement accès à une ancienne version de la page. s'il essaye de l'actualiser, il verra que sa session est fermée

fabrice1596 · 20/03/2006, 23h16

ok mais alors c'est dangereux.

Imaginons que le programme gère des transactions bancaire.
Je fais un logout, quelqu'un vient sur ma machine, fait back et retombe dans le programme! il supprimer une transaction. Elle est où la sécurité!

En tout cas dans mon cas je peux faire back et utiliser le programme sans problème! Si c'est normal (car le cache du browser) a quoi servent les sessions pour la sécurité?

Galak` · 20/03/2006, 23h34

$_SESSION=array();
session_unset();
session_destroy();
setcookie(session_name(),'',0,'/');

Ca devrait être suffisant, plutot 2 fois qu'une.

fabrice1596 · 21/03/2006, 18h46

Citation:

Envoyé par Galak`

$_SESSION=array();
session_unset();
session_destroy();
setcookie(session_name(),'',0,'/');

Ca devrait être suffisant, plutot 2 fois qu'une.

Ca ne fonctionne pas. La seule solution est de fermer le browser! Mais ce n'est pas très propre.

Il doit bien y avoir moyen de cloturer la session définitivement.

Je cherche encore. Si quelqu'un à un solution...

Galak` · 21/03/2006, 19h24

Alors tu dois avoir un souci ailleurs, j'utilise ca depuis pas mal de temps et ca marche nickel. C'est d'autant plus sûr que meme si la session s'efface mal, le navigateur n'a plus son ID pour pouvoir l'utiliser

20/03/2006, 23h07	#2
David Guillot Membre Expert David Guillot Chef de projet en SSII Inscription : mars 2004 Messages : 879 Détails du profil Informations personnelles : Nom : David Guillot Âge : 28 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Chef de projet en SSII Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : mars 2004 Messages : 879 Points : 1 149 Points : 1 149	c'est le cache du browser qui fait ça. ta page est mise en cache disque, donc le visiteur a l'impression que la session n'est pas detruite, mais elle l'est sur le serveur. il a simplement accès à une ancienne version de la page. s'il essaye de l'actualiser, il verra que sa session est fermée __________________ Avant de poser une question ici : Après résolution de votre question : un clic sur , un et un vote pour les personnes qui vous ont aidé
	00

20/03/2006, 23h16	#3
fabrice1596 Futur Membre du Club Inscription : juillet 2004 Messages : 43 Détails du profil Informations forums : Inscription : juillet 2004 Messages : 43 Points : 15 Points : 15	ok mais alors c'est dangereux. Imaginons que le programme gère des transactions bancaire. Je fais un logout, quelqu'un vient sur ma machine, fait back et retombe dans le programme! il supprimer une transaction. Elle est où la sécurité! En tout cas dans mon cas je peux faire back et utiliser le programme sans problème! Si c'est normal (car le cache du browser) a quoi servent les sessions pour la sécurité?
	00

20/03/2006, 23h34	#4
Galak` Membre du Club Inscription : décembre 2004 Messages : 52 Détails du profil Informations forums : Inscription : décembre 2004 Messages : 52 Points : 53 Points : 53	$_SESSION=array(); session_unset(); session_destroy(); setcookie(session_name(),'',0,'/'); Ca devrait être suffisant, plutot 2 fois qu'une.
	00

21/03/2006, 19h24	#6
Galak` Membre du Club Inscription : décembre 2004 Messages : 52 Détails du profil Informations forums : Inscription : décembre 2004 Messages : 52 Points : 53 Points : 53	Alors tu dois avoir un souci ailleurs, j'utilise ca depuis pas mal de temps et ca marche nickel. C'est d'autant plus sûr que meme si la session s'efface mal, le navigateur n'a plus son ID pour pouvoir l'utiliser
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email