Discussion :

[joboy84]

Bonjour,

Je suis en train de me pencher sur la question concernant les vols de sessions.

D'après ce que j'ai pu lire par ci et par la, pour palier à ce problème, il faudrait récupérer l'ip du client et la mettre en session. A chaque fois, on compare l'ip du client et l'ip stocké en session. Si l'ip est différente, on tue la session.

Par contre, je me demande comment cela se passe avec une personne qui se connecterait avec un proxy. Supposons que j'ai 10 clients qui se connectent en même temps sur mon site avec le même proxy. Dans ce cas, pourront ils accéder à la session l'un de l'autre? Car je ne sais pas si le cookie est stocké sur le serveur faisant office de proxie ou sur le poste client...?

Merci

[langevert]

Bonjour,

Non, chaque utilisateur aura sa propre session.
Lors de la création de la session, un Id lui est assignée automatiquement. Cette Id est envoyée au client (et stockée généralement dans un cookie).
Ensuite, lorsque le client renvoie une requête html, le navigateur renvoie au serveur ce fameux Id et donc le serveur peux associer la session à l'utilisateur.

Les données des sessions sont stockées sur le serveur. Sur le client, uniquement l'ID de la session est stockée (généralement dans un cookie)

Ce qui fait le lien entre l'utilisateur et sa session, c'est l'id, et non pas son adresse IP.

Donc si 10 personnes se connectent à un site avec la même adresses IP, il y aura bien 10 sessions différentes (et pourront accéder uniquement à leur session sauf si bien sur, ils procédent à un vol de session).