De ce que j'ai appris en lisant des articles sur la sécurité à droite à gauche
- vérifier l'IP c'est un petit plus pour la sécurité mais ça pose des (gros) problèmes aux utilisateurs à IP changeantes (fonctionne dans un réseau qui distribue les IP, AOL ou réseau entreprise). Une technique consiste à n'activer le verrou IP qu'une fois qu'on a constaté qu'elle n'a pas changé en une dizaine/vingtaine de click.
- Vérifier l'user-agent c'est très très léger comme sécurité en plus. Ca ne bloque que les plus mauvais hackers qui existent. L'user-agent par contre est lui réellement censé rester toujours le même (contrairement à l'IP).
- Regénérer l'ID de session à chaque page ça ne sert à rien du tout. Normalement on regénère l'ID de session à chaque changement de statut du visiteur (login, logout, login admin, logout admin, login connection sécurisée genre HTTPS, logout HTTPS). Je serais intéressé si tu pouvais donner des détails sur les avantages du session_regenerate_id systématique.
Partager