Le mieux étant de trouvé une vieille machine du genre PII 100Mhz pour te faire la main dessus
Le mieux étant de trouvé une vieille machine du genre PII 100Mhz pour te faire la main dessus
C'est noté les gars, ePoX confirme mes craintes et Mr N confirme que mon vieux pc va sans doute reprendre du service.
Cela étant pour clore ce post sur les sessions, vous auriez un exemple de fichier de session généré par php/apache ?
Je ne travaille pas en local et je n'ai pas de dédié, donc je ne sais pas à quoi ça ressemble.
Je suis certain que ça m'aidera à piger ce qu'il faut protéger, comment ça foncitionne, ce que le pirate peut voler etc...
Si quelqu'un veut se sacrifier... ou juste recopier un exemple d'ailleurs, ça peu être suffisant.
Genre y'a eu une seule session ouverte dans toute la journée, elle va se présenter comment dans le fichier de session, avec les variables de sessions et tout ?
C'est pas parce que j'ai tort que vous avez raison.
En théorie, ça ressemble à ça :
Ca contient "$_SESSION", pas plus pas moins.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4 <?php session_start(); echo serialize( $_SESSION ); ?>
J'ajoute qu'il y a évidement un fichier par session.
Google is watching you !
Ah voilà exactement ce que je voulais voir, merci Kioob !
J'ai obtenu ça :
Donc là j'aimerai bien comprendre ce que signifie le :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8 a:6:{ s:16:"affichageSession";s:1:"2"; s:14:"urlSiteSession";s:21:http://www.danone.net; s:13:"pseudoSession";s:16:"Administrateur2"; s:15:"numeroConnexion";s:1:"7"; s:16:"signatureSession";s:22:"top update on the moon"; s:13:"dernier_acces";i:1148845025;}
a:6 :
et les
s:16:"nomDeMaVariableDeSession";s:1:2:"2valeurDeMaVariable";
C'est quoi les a:6: et s:16: s:1:2: ?
Donc j'ai cru comprendre que si le pirate sniffe la session, il ne peut pas voir ce qu'elle contient, le code au dessus par exemple, car c'est sur le serveur, donc il doit pirater le serveur.
Donc quand on est en https, tout cela est insniffable. Ou c'est le numéro de session qui n'est pas sniffable ?
En fait là je vois toujours pas où il la sniffe la session, le pirate...
Ces informations ci-dessus sont enregistrées sur le serveur avec un numéro de session et chaque fois que le serveur recoit un numéro de session il va chercher les informations qui correspondent je présume. Mais le numéro de session, il circule où quand comment ?
Désolé si mes questions sont bêtes mais là j'apprend des trucs.
C'est pas parce que j'ai tort que vous avez raison.
mm, de rienEnvoyé par psychoBob
rah... encore une fois, et sans vouloir être grossier : mais qu'est ce que ça peut foutre ? Il s'agit là d'un "encodage" interne à PHP, qui peut parfaitement changer d'une version à l'autre (et c'est déjà arrivé). C'est un truc interne, donc "on s'en fout".Donc là j'aimerai bien comprendre ce que signifie le :
a:6 :
et les
s:16:"nomDeMaVariableDeSession";s:1:2:"2valeurDeMaVariable";
C'est quoi les a:6: et s:16: s:1:2: ?
Toutefois à vue de nez, on peut en déduire que "a:6" = array de 6 éléments... "s:16" = string de 16 caractères, et "i" = integer. Bref, une codification interne, qui ne sert qu'à PHP.
Je précise d'ailleurs que rien n'empèche PHP d'utiliser un codage différent de celui qu'ils fournissent via les fonctions serialize()/unserialize()... Il se peut même que cela change suivant le moteur de session utilisé (comme celui d'eAccelerator, par exemple).
Bah c'est le cas. Un pirate qui "vole une session" n'a absolument pas accès à son contenu... Où vois tu le contraire ?Pourtant j'avais cru comprendre que si le pirate sniffe la session, il ne peut pas voir ce qu'elle contient, cela par exemple, car c'est sur le serveur, donc il doit pirater le serveur.
en HTTPS, tout le trafic HTTP (entêtes et contenu) est entièrement crypté. Il reste sniffable, pas en théorie "indécryptable".Donc quand on est en https, tout cela est insniffable. Ou c'est le numéro de session qui n'est pas sniffable ?
gna ? Le pirate, ce sont les entêtes HTTP qu'il choppe, ainsi que le contenu de la page. C'est tout.En fait là je vois toujours pas où il la sniffe la session, le pirate...
Installes Firefox, l'extension Live-Header, et regarde "comment ça marche" le web.
... en cookie, en cookie, et uniquement en cookie. Je te recommande vivement la lecture des RFC correspondant au protocole HTTP.C'est informations ci-dessus sont enregistrées sur le serveur avec un numéro de session et chaque fois que le serveur recoit un numéro de session il va chercher les informations qui correspondent je présume. Mais le numéro de session, il circule où quand comment ?
Ce serait pas mal de faire un minimum de travail de recherche quand même.Désolé si mes questions sont bêtes mais là j'apprend des trucs.
Google is watching you !
Bah je savais pas ce que c'était je pouvais pas savoir qu'on s'en fiche.rah... encore une fois, et sans vouloir être grossier : mais qu'est ce que ça peut foutre ? Il s'agit là d'un "encodage" interne à PHP, qui peut parfaitement changer d'une version à l'autre (et c'est déjà arrivé). C'est un truc interne, donc "on s'en fout".
Oui chef.Installes Firefox, l'extension Live-Header, et regarde "comment ça marche" le web.
C'est pas parce que j'ai tort que vous avez raison.
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager