Discussion :

[nerik38]

Je souhaite faire un site sécurisé et j'ai lu dans le tuto
http://matthieu.developpez.com/authentification/
une méthode de protection de session:

la méthode de session_regenerate_id() à chaque chargement de page.
Mais si l'id de la session est intercepté et utilisé, en quoi la regénération de l'id protège??
je m'explique: admettons qu'un visiteur A est loggé comme il faut. Il navigue jusqu'au moment ou le visiteur B (qui est un vilain pirate) intercepte l'id de session du visiteur A, qu'est-ce qui empêche le visiteur B (le vilain) de lancer une page et de régénérer l'id lui même avant que le visiteur A (qui jusqu'ici ne se doute de rien, le pauvre) ne charge une autre page???

Soit quelquechose m'échappe (et c'est fort probable) soit la régénération de l'id de session n'apporte pas beaucoup plus de sécurité :

nerik

[Mr N.]

A priopri je dirais : rien
Donc "la régénération de l'id de session n'apporte pas beaucoup plus de sécurité", mais un peu plus quand même.

(je laisse aux pros de la securité le soin de me contredire)

[Bidouille]

Tu peux déjà lire ce post-it
http://www.developpez.net/forums/viewtopic.php?t=202446