Le problème, c'est que lorsque j'appelle un deuxième script avant que le premier n'ai fini de se charger, la session est détruite. Ou plutôt, c'est comme si l'identifiant de session regénéré n'avait pas eu le temps d'être retransmis et du coup la session est perdue... Quelqu'un a t-il déjà rencontré ce problème et sait comment le résoudre ?
Evangun
Messages postés1980Date d'inscriptiondimanche 20 février 2005StatutMembreDernière intervention24 septembre 20124 19 sept. 2007 à 01:11
Coucou a raison, l'id régénéré à chaque fois c'est un peu trop. Simplement vérifier l'id + l'adresse IP est déjà pas mal, ça limite les risques pour 99 % des visiteurs.
Evangun
Messages postés1980Date d'inscriptiondimanche 20 février 2005StatutMembreDernière intervention24 septembre 20124 19 sept. 2007 à 13:05
Est-ce qu'avec Tor l'IP du visiteur change d'une page à l'autre ? si oui, ben dommage pour lui avec cette méthode. Mais elle protège tous les autres du vol de session, alors il faut choisir...
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 19 sept. 2007 à 13:38
Salut
le vol de session deja, c'est un bien grand mot... comment tu trouves le md5 de microtime ? serieux, faut une chance monstrueuse pour tomber sur une session... les vols sont frequents quand le type t'envoi le lien et que l'id est dans un lien...
Evangun
Messages postés1980Date d'inscriptiondimanche 20 février 2005StatutMembreDernière intervention24 septembre 20124 19 sept. 2007 à 14:07
Je ne suis pas expert en sécurité, mais :
je ne parle parle d'un man in the middle comme tu dis, parce que ça franchement ça doit être assez balèze à faire. Par contre sniffer, ça se fait plus facilement. C'est vrai que sniffer depuis le même réseau interne (donc avec même IP a priori) c'est plus pratique, mais je ne pense pas que ce soit dans 9 cas sur 10 ? Enfin bon, je ne me préoccupe pas trop de ce cas-là, parce que on ne peut plus faire grand-chose quand on arrive à ce niveau, c'est aux admins réseaux de rendre le relais... et puis aux gens de faire gaffe à d'où ils se connectent aussi.