Bonjour,
Je viens d'ouvrir deux posts parfaitement infructueux, concernant la bonne méthode pour empecher un pirate de voler une session :
http://www.developpez.net/forums/sho...d.php?t=144325
http://www.developpez.net/forums/sho...d.php?t=137518
Comme il s'avère qu'en bout de course j'ai compris que dalle, je me dis que le plus simple serait de le faire avec les IP :
Je chope l'IP de celui qui s'identifie et je compare au fil des pages avec l'IP du visiteur. Comme normalement ce sont les mêmes tout va bien, mais si un pirate a volé la session, comme il a une IP différente, il est marron, ou pour mieux dire déconnecté.
C'est la méthode recommandé dans le tutoriel de Développez sur les sessions, ainsi que sur d'autres tutoriel du web.
Parait-il c'est aussi la méthode des forums phpBB (et peut être d'autres).
Mais il s'avère que des vétérans ont signalé que les gens qui se connectent notamment par AOL changent d'IP plusieurs fois par connexions, car ils sont derrière des proxys (Ce qui tendrait à signifier que les forums phpBB sont inaccessibles aux utilisateurs d'AOL).
Et il peut y avoir divers connectés avec la même IP aussi, toujours dans le cas des proxys.
Alors quand est-il ? Cette méthode reste-t'elle valable ?
Partager