Regénération de session [Résolu]

Signaler
Messages postés
112
Date d'inscription
dimanche 6 juin 2004
Statut
Membre
Dernière intervention
19 septembre 2007
-
Messages postés
112
Date d'inscription
dimanche 6 juin 2004
Statut
Membre
Dernière intervention
19 septembre 2007
-
Bonjour à tous, j'utilise des sessions en PHP et pour sécuriser le tout, je regénere un identifiant de session à chaque appel de script PHP :

<?php
        session_start();
        session_regenerate_id(true);

       //Code
?>

Le problème, c'est que lorsque j'appelle un deuxième script avant que le premier n'ai fini de se charger, la session est détruite. Ou plutôt, c'est comme si l'identifiant de session regénéré n'avait pas eu le temps d'être retransmis et du coup la session est perdue... Quelqu'un a t-il déjà rencontré ce problème et sait comment le résoudre ?

Merci beaucoup.

Vince

11 réponses

Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
39
Salut

a mon avis, c'est totalement inutile... et cote regeneration, en fait, tu n'y peux rien...

<hr />une recherche sur exalead vous aurait peut-etre evite de poser cette question

In a dream, I saw me, drop dead...
U were there, U cried...
It was just a dream,
if I die, U won't cry, maybe, U'll be happy
Messages postés
1980
Date d'inscription
dimanche 20 février 2005
Statut
Membre
Dernière intervention
24 septembre 2012
5
Coucou a raison, l'id régénéré à chaque fois c'est un peu trop. Simplement vérifier l'id + l'adresse IP est déjà pas mal, ça limite les risques pour 99 % des visiteurs.
Messages postés
112
Date d'inscription
dimanche 6 juin 2004
Statut
Membre
Dernière intervention
19 septembre 2007

Sauf qu'il n'y a pas d'adresse IP associée à l'utilisateur puisque celui-ci peut se connecter de différents endroits...

Vince
Messages postés
1980
Date d'inscription
dimanche 20 février 2005
Statut
Membre
Dernière intervention
24 septembre 2012
5
..........
..........
..........

mais tu vérifies son adresse par rapport au moment où il s'est connecté sur la première page évidemment !
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
39
Salut

et si le type utilise tor ?

<hr />une recherche sur exalead vous aurait peut-etre evite de poser cette question

In a dream, I saw me, drop dead...
U were there, U cried...
It was just a dream,
if I die, U won't cry, maybe, U'll be happy
Messages postés
1980
Date d'inscription
dimanche 20 février 2005
Statut
Membre
Dernière intervention
24 septembre 2012
5
Est-ce qu'avec Tor l'IP du visiteur change d'une page à l'autre ? si oui, ben dommage pour lui avec cette méthode. Mais elle protège tous les autres du vol de session, alors il faut choisir...
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
39
Salut

le vol de session deja, c'est un bien grand mot... comment tu trouves le md5 de microtime ? serieux, faut une chance monstrueuse pour tomber sur une session... les vols sont frequents quand le type t'envoi le lien et que l'id est dans un lien...

<hr />une recherche sur exalead vous aurait peut-etre evite de poser cette question

In a dream, I saw me, drop dead...
U were there, U cried...
It was just a dream,
if I die, U won't cry, maybe, U'll be happy
Messages postés
1980
Date d'inscription
dimanche 20 février 2005
Statut
Membre
Dernière intervention
24 septembre 2012
5
Il y a ça, ou alors si le hacker surveille et analyse ton traffic.
Messages postés
12303
Date d'inscription
mardi 10 février 2004
Statut
Modérateur
Dernière intervention
30 juillet 2012
39
Salut

si t'as un man in the middle, alors tu peux eteindre ton pc...

le man in the middle peut te passer une protection https...

si par chance, il ne peut qu'ecouter, alors 9 chances sur 10 pour qu'il ai la meme ip vue de l'exterieur...

si il ne l'a pas alors c'est qu'il est doue et merite le respect, laisse lui sa chance :) (ou pas)

<hr />une recherche sur exalead vous aurait peut-etre evite de poser cette question

In a dream, I saw me, drop dead...
U were there, U cried...
It was just a dream,
if I die, U won't cry, maybe, U'll be happy
Messages postés
1980
Date d'inscription
dimanche 20 février 2005
Statut
Membre
Dernière intervention
24 septembre 2012
5
Je ne suis pas expert en sécurité, mais :
je ne parle parle d'un man in the middle comme tu dis, parce que ça franchement ça doit être assez balèze à faire. Par contre sniffer, ça se fait plus facilement. C'est vrai que sniffer depuis le même réseau interne (donc avec même IP a priori) c'est plus pratique, mais je ne pense pas que ce soit dans 9 cas sur 10 ? Enfin bon, je ne me préoccupe pas trop de ce cas-là, parce que on ne peut plus faire grand-chose quand on arrive à ce niveau, c'est aux admins réseaux de rendre le relais... et puis aux gens de faire gaffe à d'où ils se connectent aussi.
Messages postés
112
Date d'inscription
dimanche 6 juin 2004
Statut
Membre
Dernière intervention
19 septembre 2007

Oki, merci pour vos réponses et l'idée de l'adresse IP (je n'y avait pas pensé...).

Vince