Bonjour,
Il y a eu pas mal de posts sur la manière de déconnecter un utilisateur et le hacker en cas de vol de session.
L'idée était donc, si j'avais bien compris, de créer un numéro md5() et de le passer en session, ainsi que dans un cookie.
Ce numéro change à chaque page et est updaté dans la session et dans le cookie.
Puis à chaque nouvelle page, on compare le numéro dans la session et celui dans le cookie.
Si c'est identique, c'est bon, sinon on déconnecte tout le monde:
Si un hacker sniffe une session, il récupère certe le md5(), mais lorsqu'il affiche la page, il va créer un cookie qui aura un md5() aléatoire différent de celui dans la session. ==> il est déconnecté.
Bon si je me suis pas trompé sur ce qui précède, voyons cela :
- Je ne passe mes variables de session que dans des cookies et pas dans les urls (il parait que c'est plus sur).
- Je ne peux donc pas passer le md5() en cookie et dans l'url comportant les paramètres de session (paramètres cachées ou non, à priori ça revient au même).
- Je dois donc passer le md5() dans un cookie ET dans le cookie de session.
Question :
Si le pirate sniffe le cookie de session (ou la session ?), a-t'il aussi à porté de main le cookie comportant le md5() ?
(j'ai pas beaucoup travaillé avec les sessions encore, alors j'espère que je dis pas des énormités. Le cas échant, veuillez me reprendre)
Partager