Bonjour,
suite a une récente attaque sur mon site, du moins a du spoofing de cookies, j'ai décidé de mettre une sécurité complémentaire avec ce système.
Au départ, il vérifiait que le pass crypté dans le cookies soit le même que celui enregistrer dans la BDD (avec un minimum de sécurité).
Mais si un malin trouve une faille XSS et que certain s'aventure la dedans, leur cookies sont récupéré et hop, il modifie ses cookies et prends l'identité de l'autre.
J'ai dis mis un check d'ip aussi. Si les cookies ne sont pas vides, je vérifie que l'IP de la personne accedant au site est bien la même que la dernière enregistrer. Si oui, pas de soucis pas d'usurpation, sinon, bah c'est une autre personne qui essaye d'acceder au site via les cookies d'autre personne.
Ai-je bien fait ?
Un peu trop léger ?
J'attends vos remarques et suggestion sauf celle de sécurisé complètement mon site. C'est une bonne solution, sauf que même quelqu'un d'expérimenter peu passer a côté. (Mieux vaux prévenir que guérir).
Partager