Je souhaite faire un site sécurisé et j'ai lu dans le tuto
http://matthieu.developpez.com/authentification/
une méthode de protection de session:
la méthode de session_regenerate_id() à chaque chargement de page.
Mais si l'id de la session est intercepté et utilisé, en quoi la regénération de l'id protège??
je m'explique: admettons qu'un visiteur A est loggé comme il faut. Il navigue jusqu'au moment ou le visiteur B (qui est un vilain pirate) intercepte l'id de session du visiteur A, qu'est-ce qui empêche le visiteur B (le vilain) de lancer une page et de régénérer l'id lui même avant que le visiteur A (qui jusqu'ici ne se doute de rien, le pauvre) ne charge une autre page???
Soit quelquechose m'échappe (et c'est fort probable) soit la régénération de l'id de session n'apporte pas beaucoup plus de sécurité :
nerik
Partager