Discussion :

[sylsau]

Bonjour,

Je suis en train de mettre en place un site dans lequel j'utilise le mécanisme des sessions pour stocker et passer des variables sur les différentes pages du site.

Pour sécuriser un petit peu plus les sessions, je fais une vérification sur l'IP (Au passage vaut il mieux faire la vérification sur l'IP ou sur le nom d'hôte correspondant à cette IP?) du visiteur tout au long des pages. En cas de différence, je déloggue immédiatement cette personne qui accède à la page.

J'ai lu qu'en utilisant cette vérification sur l'IP, on sécurisait plus les sessions et on atteignait un niveau de sécurité acceptable avec les sessions.

J'aurais donc aimé savoir si vous pensez que cela est suffisant ou s'il fallait rajouter une autre sécurité ?

Merci d'avance de votre aide.

Sylvain

[efficks]

Une sécurité supplémentaire et très intéressante serait d'ajouter une vérification de l'adresse MAC du client (comme l'adresse IP). Comme on le sait, l'adresse MAC est unique pour chaque carte réseau dans le monde... ou presque .

PHP ne permet pas de récupérer l'adresse MAC du client. Tu peux malgré tout trouver une classe en PHP qui permet de la récupérer en l'incluant dans ton projet. Voici l'adresse où la trouver : http://www.phpclasses.org/browse/package/1942.html

Donc avec ça tu devrait être pas mal sécurisé.

Bonne chance.

[Mr N.]

Une sécurité supplémentaire et très intéressante serait d'ajouter une vérification de l'adresse MAC du client (comme l'adresse IP). Comme on le sait, l'adresse MAC est unique pour chaque carte réseau dans le monde... ou presque

Comme on le sait aussi, une adresse mac n'est visible qu'au sein d'un réseau local. Dailleurs c'est dit dans le lien que tu donnes :

This class is meant to retrieve the MAC address associated to a network card of a computer in the same local network.

Donc impossible de se baser dessus.

[Mr N.]

J'aurais donc aimé savoir si vous pensez que cela est suffisant ou s'il fallait rajouter une autre sécurité ?

Ca ne sera pas suffisant car par exemple si le pirate et l'utilisateur sont derrière le meme routeur et partage donc la meme ip, tu es cuit.


La seul solution viable actuellement est d'utiliser ssl

[efficks]

Damn it...
Il doit quand même y avoir un moyen de récupérer l'adresse MAC des paquets au niveau de la couche Liaison (Ethernet) qui représente l'adresse MAC du poste d'origine non?

[Mr N.]

Ben non.
La couche liaison ne sert qu'au sein d'un réseau local.