Regénération de sessionRésolu

Question

Bonjour à tous, j'utilise des sessions en PHP et pour sécuriser le tout, je regénere un identifiant de session à chaque appel de script PHP :

<?php
        session_start();
        session_regenerate_id(true);

        //Code
?>

Le problème, c'est que lorsque j'appelle un deuxième script avant que le premier n'ai fini de se charger, la session est détruite. Ou plutôt, c'est comme si l'identifiant de session regénéré n'avait pas eu le temps d'être retransmis et du coup la session est perdue... Quelqu'un a t-il déjà rencontré ce problème et sait comment le résoudre ?

Merci beaucoup.

Vince

coucou747 · Accepted Answer

Salut

a mon avis, c'est totalement inutile... et cote regeneration, en fait, tu n'y peux rien...

<hr />une recherche sur exalead vous aurait peut-etre evite de poser cette question

In a dream, I saw me, drop dead...
U were there, U cried...
It was just a dream,
if I die, U won't cry, maybe, U'll be happy

Evangun · Answer

Coucou a raison, l'id régénéré à chaque fois c'est un peu trop. Simplement vérifier l'id + l'adresse IP est déjà pas mal, ça limite les risques pour 99 % des visiteurs.

eplanet · Answer

Sauf qu'il n'y a pas d'adresse IP associée à l'utilisateur puisque celui-ci peut se connecter de différents endroits...

Vince

Evangun · Answer

..........
..........
..........

mais tu vérifies son adresse par rapport au moment où il s'est connecté sur la première page évidemment !

coucou747 · Answer

Salut

et si le type utilise tor ?

<hr />une recherche sur exalead vous aurait peut-etre evite de poser cette question

In a dream, I saw me, drop dead...
U were there, U cried...
It was just a dream,
if I die, U won't cry, maybe, U'll be happy

Evangun · Answer

Est-ce qu'avec Tor l'IP du visiteur change d'une page à l'autre ? si oui, ben dommage pour lui avec cette méthode. Mais elle protège tous les autres du vol de session, alors il faut choisir...

coucou747 · Answer

Salut

le vol de session deja, c'est un bien grand mot... comment tu trouves le md5 de microtime ? serieux, faut une chance monstrueuse pour tomber sur une session... les vols sont frequents quand le type t'envoi le lien et que l'id est dans un lien...

<hr />une recherche sur exalead vous aurait peut-etre evite de poser cette question

In a dream, I saw me, drop dead...
U were there, U cried...
It was just a dream,
if I die, U won't cry, maybe, U'll be happy

Evangun · Answer

Il y a ça, ou alors si le hacker surveille et analyse ton traffic.

coucou747 · Answer

Salut

si t'as un man in the middle, alors tu peux eteindre ton pc...

le man in the middle peut te passer une protection https...

si par chance, il ne peut qu'ecouter, alors 9 chances sur 10 pour qu'il ai la meme ip vue de l'exterieur...

si il ne l'a pas alors c'est qu'il est doue et merite le respect, laisse lui sa chance :) (ou pas)

<hr />une recherche sur exalead vous aurait peut-etre evite de poser cette question

In a dream, I saw me, drop dead...
U were there, U cried...
It was just a dream,
if I die, U won't cry, maybe, U'll be happy

Evangun · Answer

Je ne suis pas expert en sécurité, mais :
je ne parle parle d'un man in the middle comme tu dis, parce que ça franchement ça doit être assez balèze à faire. Par contre sniffer, ça se fait plus facilement. C'est vrai que sniffer depuis le même réseau interne (donc avec même IP a priori) c'est plus pratique, mais je ne pense pas que ce soit dans 9 cas sur 10 ? Enfin bon, je ne me préoccupe pas trop de ce cas-là, parce que on ne peut plus faire grand-chose quand on arrive à ce niveau, c'est aux admins réseaux de rendre le relais... et puis aux gens de faire gaffe à d'où ils se connectent aussi.

eplanet · Answer

Oki, merci pour vos réponses et l'idée de l'adresse IP (je n'y avait pas pensé...).

Vince

Regénération de session

11 réponses

Votre réponse

Discussions similaires