Forum Clubic

Variable de session

Bonjour, je me pose une question.
Par exemple, les variables de session sont utilisé par un seul client connecté à mon serveur, ou tout les utilisateur on accès a cette variable de session ???

seulement si le ‘pirate’ dispose de l’id de la session de la personne visée.

http://lu.php.net/manual/fr/ref.session.php

seul l’utilisateur ayant l’identifiant de la session auras accès à son contenu :oui:

PHP stocke et transmet cette variable de 2 façons entre le client et le serveur :

  • par GET (envois de l’identifiant par argument dans la barre d’adresse, avec réécriture automatique des liens, genre www.site.com/page.php?PHPSESSID=bds2312fds2343sef13) > méthode peu sécurisé à éviter … il est en effet assez “simple” de sniffer le trafic GET d’un site, sans compter qu’il est fréquent que des gens désirant montrer un site à un pote copie-colle directement l’adresse de la page … avec l’identifiant de session dedans :sarcastic:
  • par COOKIE (l’identifiant est stocké dans un cookie sur le poste utilisateur) > méthode plus sécurisé, il est notemmant possible de limiter l’utilisation du COOKIE (limite de durée de vie du cookie, autorisé sur un domaine particulier, conexion SSL uniquement, etc …), mais cela n’empêche pas une personne ayant un accès à l’ordinateur du client de visualiser le contenu des COOKIE … mais c’est quand même plus compliquer que d’avoir une adresse URL :oui:

sinon tout le reste est dans la doc PHP (cf lien de benj :jap: ) … lire notemmant le paragraphe sur la sécurité des sessions :oui:

tu peux également rajouter des vérifications logique quand tu récupères ta session … par exemple, stocker dans ta session l’adresse IP de l’utilisateur … comme ça, si quelqu’un “vole” l’identifiant et tente de récupérer la session depuis un autre ordinateur, il y’a de grande chance que son adresse IP soit différente … donc si l’adresse IP stocké dans la session est différent de celle de l’utilisateur courant, tu détruis la session :oui: …
c’est une technique parmis d’autre :jap:

Donc autant ne pas les utiliser et faire son propre système?

Et un système basé sur les IP c’est hyper pas fiable, ils avaient fait un système comme ça chez nous, et derrière un proxy, ils avaient tous la même IP, donc la même session, je raconte pas le bugs :pfff:

La session basé sur un cookie, on peut compter dessus (même les sites de commande en ligne s’en contentent) et si vraiment tu veux de la sécurité, il faut penser au https/SSL.
:slight_smile:

j’ai pas dit un système basé que sur l’IP, mais sur session+IP …
nous ici au taff on a tous la même IP en sortie, et pourtant on a des sessions différentes :neutre: …

:oui:
Oui oui, d’accord, mais vu que pour tous ceux qui utilisent un proxy en société, ça ne rajoute aucune sécurité, autant s’en passer, ou alors appliquer de la sécurité SSL.
Quand la session est bien gérée tout se passe bien, mais quand (comme dans mon projet donc) on détourne complètement les sessions, on arrive à des bugs incompréhensible et irreproductible, bref, autant ne pas prendre de risque, mais si on est sûr de son coup, alors OK :wink:

C’est con qu’on puisse pas chopper l’adresse MAC :slight_smile:

Je suis totalement d’accord avec toi sur ce point. :oui:
Le mieux étant d’utiliser une authentification par certificats, mais pour un site public c’est un peu trop contraignant :paf: