Bonjour,
je suis sûr qu'on vous a déja posé ce genre de questions, mais je tente toujours, biensur j'ai lu le FAQ avant posté sur ce forum. Mais celui ci n'a pas répondu à mes questions. Je me tourne alors vers vous developpiens.
Alors voilà, quand on créait une variable session : $_SESSION[X] = x, une id session est générée et disposée dans un cookie (à ce que j'ai cru comprendre).
Nous avons aussi à notre disposition la fonction session_generate_id() pour re-générer une nouvelle id de session. Cette fonction serait à placer après le session_start() de chaque page.
Je me pose le problème suivant :
Admetons qu'un attaquant A se soit approprié le cookie de la victime B. Si l'id de session ne change pas, A dispose des droits de B. Mais si l'id session change à chaque page alors A ne les possède plus. Justement là je ne sais vraiment si ça se passe ainsi.
Sinon j'aimerai comprendre ceci : ademettons, nous créons la variable session : $_SESSION[A] = a en $_SESSION[B] = a | notre id de session changerait ? Quel serait l'interet de changer le nom de session cela serait il être interessant pour la sécurité?
Ces notions de sécurité sessions sont un peu flou pour moi, veuillez m'en excuser.
Merci de lire mon post, en attentes de vos réponses.
Partager