D'autant plus que seulement ip + port ne permet pas d'identifier de facon unique quelqu'un, que faisons nous de ceux qui sont sur un reseau local, derriere un proxy ? (bien sur, sans utiliser les sessions a ce moment comme le concoit Sub0)Envoyé par ermelir
Cruel dileme, ne pas doubler la verification de session + verification d'IP permet le vol de session ! c'est embetant ca.Envoyé par ermelir
Tout ceci me fait réfléchir et m'amene a 2 questions :
1* Pourquoi vouloir eviter les cookies ?? Ils ne sont dangereux que dans le cas ou l'on peut publier un texte lisible par d'autres utilisateurs, ce qui n'est pas trop le cas pour un acces 'admin'
2* Finalement, un htaccess n'est-il pas la solution ultime par rapport aux sessions ? ... peut-on voler un acces de ce type ? comment le serveur reconnait le client dans ce cas ? cookies ? ip ? ...
Partager