Discussion :

[freesurfer]

Bonjour,

J'essaie de mettre en place un script pour contrer les vols de session.
Mais je me retrouve devant le problème du TEST. Comment tester un vol de session ?
J'utilise les sessions PHP et j'ai sur mon ordi IE et FIREFOX. Comment puis-je faire pour avoir la meme session (meme id) sur les deux browsers ?

[Tournevyks]

Ca dépend ? Tu gères les sessions par Cookie ou par GET ?
Si c'est par GET, il te suffit de recopier le PHPSESSID.
Par cookie, il faut avoir le même cookie sur les deux navigateurs.

[freesurfer]

Ca dépend ? Tu gères les sessions par Cookie ou par GET ?
Si c'est par GET, il te suffit de recopier le PHPSESSID.
Par cookie, il faut avoir le même cookie sur les deux navigateurs.

Je gere les session par Cookie. Ok pour le meme cookie sur les deux navigateurs. Mais avec IE il ne me crée pas de cookie lors de la session, enfin du moins il ne me crée pas de fichier dans le repertoire cookies. Idem dans le fichier cookies.txt de firefox

[alain31tl]

Je gere les session par Cookie. Ok pour le meme cookie sur les deux navigateurs. Mais avec IE il ne me crée pas de cookie lors de la session, enfin du moins il ne me crée pas de fichier dans le repertoire cookies. Idem dans le fichier cookies.txt de firefox

Salut

Faudrait savoir :
Tu géres les sessions par cookie ou bien comme tu l'a dit au départ :

......J'utilise les sessions PHP .......

C'est pas la même chose.
Les cookies, c'est côté poste utilisateur
Les sessions php, c'est côté serveur.

[freesurfer]

Oui je sais merci,
Mais en gestion de session PHP il y a bien l'ID de session quelque part coté client. Non ?
Je parle des cookies car sous firefox, l'id de session peut etre visualisé dans l'onglet cookies au niveau des options. D'ou ma derniere remarque. J'ai peut etre fait un racourci un peu trop rapide.

Mais la question demeure. Comment mettre le meme id de session sous deux navigateurs differents.

[alain31tl]

Oui je sais merci,
Mais en gestion de session PHP il y a bien l'ID de session quelque part coté client. Non ?

Non, je me répête....côté serveur.

[Tournevyks]

Non, je me répête....côté serveur.

Oui, côté serveur.
Mais aussi côté client.
Au premier appel à session_start(), le serveur génère un identifiant de session, qu'il envoie par cookie au navigateur (Du moins dans le cas de freesurfer). Et sur chaque page, le navigateur renvoie au serveur l'identifiant de session, stocké dans le cookie.

freesurfer, pour ton test, voilà ce que tu peux faire : Essaie d'accéder à ta page avec l'url tonscript.php?PHPSESSID=cequetuveux, avec IE et Mozilla.

[alain31tl]

Alors jette un oeil si t'es sûr de toi.

[zyongh]

qu'il envoie par cookie au navigateur

Donc, comme tu le prouves toi-même, côté client = cookie et côté serveur = session.

Donc alain31dl et toi êtes d'accord...

[freesurfer]

Oui, côté serveur.
Mais aussi côté client.
Au premier appel à session_start(), le serveur génère un identifiant de session, qu'il envoie par cookie au navigateur (Du moins dans le cas de freesurfer). Et sur chaque page, le navigateur renvoie au serveur l'identifiant de session, stocké dans le cookie.

freesurfer, pour ton test, voilà ce que tu peux faire : Essaie d'accéder à ta page avec l'url tonscript.php?PHPSESSID=cequetuveux, avec IE et Mozilla.

Ok je vais utiliser le trans_sid pour faire mon test. Oui c'est vrai que pour mes tests ca aura le meme effet. Merci Tournevyks. Bon maintenant faut que je trouve si on peut activer le session.use_trans_sid depuis le script car je suis en mutu et il est a OFF.

Mais comment font les gars qui piquent les id de session quand on bloque le trans_sid ?

[kankrelune]

Mais comment font les gars qui piquent les id de session quand on bloque le trans_sid ?

Bah ils mettent la main à la pate et il créent un cookie... .. .

ou alors ils travaillent directement sur les en têtes http envoyées au serveur... .. .

@ tchaOo°

[Djakisback]

Salut,
est-ce que tu pourrais m'en dire plus sur ta méthode de sécurité ?
(car j'imagine que tu n'utilises pas l'ip du client étant donné que tu peux faire tes tests sur la même machine)
Merci

[freesurfer]

Salut,
est-ce que tu pourrais m'en dire plus sur ta méthode de sécurité ?
(car j'imagine que tu n'utilises pas l'ip du client étant donné que tu peux faire tes tests sur la même machine)
Merci

Salut,

Je fais rien de bien mechant, je crée un cookie coté client avec un md5 et je le mets aussi coté serveur dans la base et dans la session. et à chaque page, je compare ces 3 valeurs et si c'est ok je regenere un autre md5 que je renvoie dans le cookie, la base, et la session. Je fais pas de test d'ip a cause des utilisateurs d'AOL.
De toutes facons la seule vraie solution c'est le https