Bonjour,
j'ai la demande suivante de la part d'un client :
pouvoir patager les sessions entre (ex):
alors, dans l'absolut c'est faisable, mias, j'ai peur des risques de vol de session.
A noter : le site stocke les sessions en bdd.
voila comment (sommairement) je pense faire (on est sur toto.com):
<a href="toto.fr" onclick="insererDonnéesSession(this)">aller sur toto.fr</a>
et, coté js :
1 2 3
| function insererDonnéesSession(a) {
a.href += "?session=<?=md5(session_id())?>"
} |
apres, coté php, il suffit de retrouver l'enregistrement correpondant au md5 (ou a tout autre algo plausible de pseudo cryptage) et de faire un :
session_id($sessionIdDecode)
D'apres vous, cela peut il poser des pb de vulnerabilitée.
les idées partisantes du "non" :
- le site n'est pas en https, donc c'est aussi facile de voler une session en ecoutant les com.
les idées partisannes du "oui"
- on perd la couche de verification basée sur les cookies : il suffit de faire X tentatives pour voler une session
une solution : utiliser un compteur, au dela d'une tentative, on banni l'ip, de toute tentative de recuperation de session.
faire un check de l'ip de la session stockée et de l'ip de la personne demandant la session : si pas meme zone geographique, on refuse.
qu'en pensez vous?
cela represente-t-il un vrai trou de securitée?
Partager