[Sécurité] 2 utilisateurs sur une même session

Sandara · 18/03/2007, 17h49

Bonjour,
Comment peut on empecher que 2 utilisateurs se retrouvent loggés sur une meme session ?

Exemple : L'utilisateur A se connecte avec le login "111" et le mdp "111".
Comment empecher que l'utilisateur B se connecte 5 minutes plus tard avec le login "111" et le mdp "111" alors que l'utilisateur A est encore connecté ?

Merci d'avance !

maximenet · 18/03/2007, 19h12

eh bien en faite tout dépend comment tu gère les sessions.

car à la base un login et pass c'est uniquement pour avoir ou voir des infos supplémentaire ou actions.

donc logiquement çà ne devrai pas poser de probleme meme si 2 personnes se connect en meme temps avec le meme identifiant.

Sandara · 18/03/2007, 19h25

J'utilise mes session sur un forum perso, et je veux faire ca suite au fait qu'un utilisateur c'est amusé à se connecté sur le compte d'un autre (il connaissait ses identifiants) pour lui changer son profil alors que le propriétaire du compte etait deja connecté.

C'est en quelque sorte une sécurité supplémentaire (bien que minime), pour que quand un utilisateur poste un message il ne soit pas embété par des ptits malins qui se font passer pour lui.

Est ce que c'est possible donc, de limiter un compte à une seule session, pour eviter que 2 utilisateurs soient loggés en meme temps ?

Yogui · 19/03/2007, 09h29

Salut

Il faut bien distinguer la session utilisateur (login + mdp) et la session PHP (PHPSESSID). PHP attribue une session par navigateur et, à moins que tu n'envoies un PHPSESSID au mauvais navigateur (vol de session etc.), il n'y aura pas confusion. Deux utilisateurs peuvent se connecter avec les mêmes infos sans toutefois utiliser la même session PHP.

[Edit]
Pour te répondre, il faut ajouter un champs "connecté" à la table "utilisateur". Dès que le gars est connecté, tu passes cette valeur à "1", dès qu'il se déconnecte tu la remets à "0". Tu refuses la connexion si la valeur est à "1", tu l'autorises si elle est à "0".
J'imagine que tu as cerné le problème : il faut que tes utilisateurs se déconnectent, sinon ils ne pourront jamais se reconnecter. Le font-ils ? Je ne le crois pas.
Je pense que tu te creuses la tête pour peu de chose. Ce n'est aps à ce niveau qu'il faut implanter la sécurité : il vaut mieux adopter de bonnes pratiques lors de l'inscription et de la connexion, mais pas implémenter des procédures complexes sujettes aux erreurs.

18/03/2007, 17h49	#1
Sandara Membre à l'essai Inscription : mai 2006 Messages : 171 Détails du profil Informations forums : Inscription : mai 2006 Messages : 171 Points : 21 Points : 21	[Sécurité] 2 utilisateurs sur une même session Bonjour, Comment peut on empecher que 2 utilisateurs se retrouvent loggés sur une meme session ? Exemple : L'utilisateur A se connecte avec le login "111" et le mdp "111". Comment empecher que l'utilisateur B se connecte 5 minutes plus tard avec le login "111" et le mdp "111" alors que l'utilisateur A est encore connecté ? Merci d'avance !
	00

19/03/2007, 09h29	#4
Yogui Rédacteur Guillaume Rossolini Directeur technique Inscription : février 2004 Messages : 13 720 Détails du profil Informations personnelles : Nom : Guillaume Rossolini Localisation : France Informations professionnelles : Activité : Directeur technique Informations forums : Inscription : février 2004 Messages : 13 720 Points : 17 355 Points : 17 355	Salut Il faut bien distinguer la session utilisateur (login + mdp) et la session PHP (PHPSESSID). PHP attribue une session par navigateur et, à moins que tu n'envoies un PHPSESSID au mauvais navigateur (vol de session etc.), il n'y aura pas confusion. Deux utilisateurs peuvent se connecter avec les mêmes infos sans toutefois utiliser la même session PHP. [Edit] Pour te répondre, il faut ajouter un champs "connecté" à la table "utilisateur". Dès que le gars est connecté, tu passes cette valeur à "1", dès qu'il se déconnecte tu la remets à "0". Tu refuses la connexion si la valeur est à "1", tu l'autorises si elle est à "0". J'imagine que tu as cerné le problème : il faut que tes utilisateurs se déconnectent, sinon ils ne pourront jamais se reconnecter. Le font-ils ? Je ne le crois pas. Je pense que tu te creuses la tête pour peu de chose. Ce n'est aps à ce niveau qu'il faut implanter la sécurité : il vaut mieux adopter de bonnes pratiques lors de l'inscription et de la connexion, mais pas implémenter des procédures complexes sujettes aux erreurs. __________________ Mes articles - Zend Certified Engineer (PHP + Zend Framework) Ressources PHP - Ressources Zend Framework
	00

18/03/2007, 19h12	#2
maximenet Membre éprouvé Inscription : avril 2005 Messages : 611 Détails du profil Informations personnelles : Sexe : Âge : 28 Localisation : Turquie Informations forums : Inscription : avril 2005 Messages : 611 Points : 459 Points : 459	eh bien en faite tout dépend comment tu gère les sessions. car à la base un login et pass c'est uniquement pour avoir ou voir des infos supplémentaire ou actions. donc logiquement çà ne devrai pas poser de probleme meme si 2 personnes se connect en meme temps avec le meme identifiant.
	00

18/03/2007, 19h25	#3
Sandara Membre à l'essai Inscription : mai 2006 Messages : 171 Détails du profil Informations forums : Inscription : mai 2006 Messages : 171 Points : 21 Points : 21	J'utilise mes session sur un forum perso, et je veux faire ca suite au fait qu'un utilisateur c'est amusé à se connecté sur le compte d'un autre (il connaissait ses identifiants) pour lui changer son profil alors que le propriétaire du compte etait deja connecté. C'est en quelque sorte une sécurité supplémentaire (bien que minime), pour que quand un utilisateur poste un message il ne soit pas embété par des ptits malins qui se font passer pour lui. Est ce que c'est possible donc, de limiter un compte à une seule session, pour eviter que 2 utilisateurs soient loggés en meme temps ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email