Est-il possible d'utiliser le créateur de session intégré en PHP? Mon inquiétude est que quelqu'un pourrait pirater le cookie de jeton sur une autre machine de personnes, et mettre le leur exactement à la même chose, par conséquent le serveur à croire qu'ils sont la même personne.Identifiant de créateur de session PHP
Y a-t-il une protection (par exemple des contrôles IP) pour arrêter cela ou dois-je utiliser quelque chose de plus sécurisé?
PHP n'effectue aucune vérification IP, pour la simple raison que cela ne fonctionnera pas dans 100% des cas.
Alors oui, vous pouvez détourner une session. Si vous voulez augmenter la sécurité, vous devez construire des mécanismes en plus de cela. Jetez un oeil à http://phpsec.org/projects/guide/4.html pour quelques pointeurs.
Oui, il est théoriquement possible de détourner le cookie de jeton sur une autre machine de personnes, mais en fait, tous les sites dans le monde l'utilisent. y compris Stackoverflow. Si vous piratez mon cookie, vous pouvez vous connecter à mon compte. Et alors?
Je suis sûr que vous ne voudriez pas que les gens regardent des informations sensibles que vous avez en ligne – TomC
@TomC Je ne vous demande pas ce que je veux. Je vous dis SO en utilisant un tel jeton. Peut-être que ce n'est pas aussi dangereux que vous l'imaginez? –
Merci pour l'aide :) – TomC