Il peut sniffer le numéro de session pour se faire passer pour le membre.
Tu dois prendre des précautions élémentaires : enregistrer l'ip, l'host, le navigateur... bref tout ce qui peut individualiser un accès. Ainsi, tu vérifies à chaque page que non seulement la session est valide, mais aussi que les paramètres de connexion sont identiques, sinon tu vires. Ca ne résoud pas les problèmes sur des réseaux d'entreprises derrière un routeur ou proxi, mais c'est mieux que rien.
Il est aussi fortement conseillé de programmer un time out, dont la durée est fonction de la confidentialité des données que tu veux protéger. Ainsi, un membre qui oublie de se déconnecter et qui ne ferme pas son navigateur sera automatiquement déconnecté rapidement, ce qui enpêche celui qui le suit sur son ordi de profiter de sa session.
Partager