Discussion :

[molo1987]

Bonjour a tlm,

A titre de sécurité;j'ai une page dont ou le client doit saisir avec son propre session quelques informations,je veut faire un code qui lui permet de sécuriser un peu plus sa session ,lorsqu'il ne tape rien pendant 15 minutes la page retourne directement a la page d'accueil ou normalement il doit re-saisir a nouveau son login et mot de passe;

Merci de m'aider ou bien au minimum de m'éclaircir un peu les choses

Merci d'avance

[SpaceFrog]

ça ne se gère pas plutot coté serveur ça ?
en js se serais facilement contournable, donc niveau securité très moyen...

renseigne toi plutot sur session.gc_maxlifetime en php ...

http://www.developpez.net/forums/d82...meout-session/


à toi ensuite de gérer la redirection lors d'un test isset lors d'une connection au delà de 15 minutes

[Watilin]

Yep, c’est une histoire de session, mais rien ne t’empêche de compléter ça avec du JS pour que l’utilisateur ait un « retour visuel » immédiat…

Un truc comme ça :

Code JavaScript :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
var resetTimeout = (function() {
	var _timeout;
	var _reset = function() {
		clearTimeout(_timeout);
		_timeout = setTimeout(function() {
			location.href = '/'; // racine du site
		}, 15*60*1000); // 15 minutes
	};
	return _reset;
})();

Quand il y a besoin tu fais :

Code JavaScript :

Sélectionner tout - Visualiser dans une fenêtre à part

resetTimeout();

Le timer est dans une closure, donc plus difficile à annuler. Mais le type qui est malin peut y arriver quand même…

[SpaceFrog]

en desactivant js ...

[Watilin]

Euh, ouais ^^

Mais je veux dire, il peut y arriver sans désactiver JS s’il veut quand même profiter de toutes les fonctionnalités du site… Un truc que j’ai déjà fait moi-même : bruteforcer les timeouts…

Code js :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
var lastTimer = setTimeout(function(){});
for (var i = 0; i < lastTimer; i++) {
	clearTimeout(i);
	clearInterval(i);
};

Ou alors avec GreaseMonkey, modifier le comportement de setTimeout… Ou empêcher l’affectation de la variable resetTimout.

Y’a plein de moyens envisageables ^^