Vol de sessions PHP Fermé

Question

Bonjour,  

J'utilise Zend framework dans cet exemple, mais je ne pense pas que ca va être un problème de compréhension pour ma question.  

Voila un peu de code pour illustrer avec des commentaires pour ceux qui ne connaissent pas Zend :  

  // Permet le récupération de l'id de session dans le cookie  
  $sessCookieId = $this->_request->getCookie('PHPSESSID');  
  // Permet de récupérer l'id de sessions de la session  
  $sessServeurId = Zend_Session::getId();  

  // Si les deux sont identiques  
  if($sessCookieId == $sessServeurId) {  
   // On regénère un nouvel Id de sessions que l'on envoie en même temps dans le cookie  
   Zend_Session::regenerateId();  
  } else {  
   // Si non on efface le session actuel et le cookie  
   $this->_auth->clearIdentity();  
  }  


Donc a chaque nouvelle page, je régénère un nouvel id de session si la comparaison est identique. Ainsi si une autre personne vient et que l'id n'est pas le même, grosso modo on stop tout.  

Pensez-vous que cette logique soit bonne ?  


Merci d'avance.  
Bien cordialement.

Archeus01 · Answer

Bonjour,
Pourquoi regénerer l'id? Pourquoi ne pas conserver le même ? Surtout qu'a chaque fois que tu régénères, tu vas modifier ton cookie...

nico_73 · Answer

Oui effectivement je régénère l'id puisque je m'en sers un peu comme d'un jeton de session et ça permet de changer à chaque page la clé de comparaison. Ce qui je pense, réduit le possibilité de vol de session, puisque que l'utilisateur change de  page régulièrement.  

Mais actuellement on peut voir une faille, car l'id qui est envoyé en cookie n'est crypté avec la fonction crypt() de PHP (par exemple).

Vol de sessions PHP

2 réponses

Discussions similaires