Discussion :

[psychoBob]

Bonjour,

Il y a eu pas mal de posts sur la manière de déconnecter un utilisateur et le hacker en cas de vol de session.

L'idée était donc, si j'avais bien compris, de créer un numéro md5() et de le passer en session, ainsi que dans un cookie.
Ce numéro change à chaque page et est updaté dans la session et dans le cookie.
Puis à chaque nouvelle page, on compare le numéro dans la session et celui dans le cookie.
Si c'est identique, c'est bon, sinon on déconnecte tout le monde:
Si un hacker sniffe une session, il récupère certe le md5(), mais lorsqu'il affiche la page, il va créer un cookie qui aura un md5() aléatoire différent de celui dans la session. ==> il est déconnecté.

Bon si je me suis pas trompé sur ce qui précède, voyons cela :

- Je ne passe mes variables de session que dans des cookies et pas dans les urls (il parait que c'est plus sur).
- Je ne peux donc pas passer le md5() en cookie et dans l'url comportant les paramètres de session (paramètres cachées ou non, à priori ça revient au même).
- Je dois donc passer le md5() dans un cookie ET dans le cookie de session.

Question :
Si le pirate sniffe le cookie de session (ou la session ?), a-t'il aussi à porté de main le cookie comportant le md5() ?


(j'ai pas beaucoup travaillé avec les sessions encore, alors j'espère que je dis pas des énormités. Le cas échant, veuillez me reprendre)

[spilliaert]

Question :
Si le pirate sniffe le cookie de session (ou la session ?), a-t'il aussi à porté de main le cookie comportant le md5() ?

non; puisque le cookie est stocké sur l'ordinateur en local du client. Le pirate n'y a pas accès ...Ou ais-je mal compris ta question ?

[psychoBob]

Bein j'en sais rien, y 'a-t'il une différence entre un cookie et un cookie de session ?

[spilliaert]

heu...oui; le cookie de session est stocké sur le serveurs et le cookie "normal" est stocké chez le client ...

[Sylvain71]

spilliaert heu...oui; le cookie de session est stocké sur le serveurs et le cookie "normal" est stocké chez le client ...

Heuu non, le cookie de session arrive bien chez le client mais ne contient que son session_id. C'est les données associées qui restent sur le serveur.

La différence avec un cookie normal je crois que c'est le "stockage". Le cookie "normal" est enregistré dans un fichier texte tandis que le cookie de session est stocké en mémoire.

Je ne suis jamais sur à 100% quand je parle des sessions mais il me semble bien que c'est plutot comme ça que ça marche

[spilliaert]

Le cookie "normal" est enregistré dans un fichier texte tandis que le cookie de session est stocké en mémoire.

Quelle mémoire ? serveur ?