Est-ce une mesure de sécurité assez fort par lui-même,
Placez deux variables de session pour valider eachother et/ou
Mettre en œuvre la base de données/validation de hachage
Non, et la raison est : Tout ce que votre utilisateur valide peut envoyer à votre serveur pour l'authentification (ID de session, cookies, une chaîne hachée, n'importe quoi!) Peut être reniflé par d'autres si ce n'est pas crypté. Même si le serveur traite les données avec le hachage md5, salt, les vérifications de variable de session double, id ou autre, et stocke ces informations, il est facilement reproduit par le serveur quand il reçoit à nouveau les données usurpées d'une autre source.
Comme beaucoup de gens l'ont suggéré, SSL est le seul moyen d'empêcher ce type d'écoute électronique. Il m'est apparu que, si le serveur devait générer un nouvel identifiant de session pour chaque requête, et permettre au navigateur de ne répondre qu'une seule fois, il ne pourrait théoriquement y avoir qu'une seule requête ou publication d'un pirate avant le serveur et le serveur. navigateur autorisé savait à ce sujet. Encore inacceptable, cependant, car il suffit de faire de sérieux dégâts.
Hey Qu'en est-ce:
Créer un GUID à usage unique et le sel aléatoire et chiffrer avec un mot de passe partagé en utilisant PHP - ceci est envoyé comme l'identifiant de session ou un cookie.
Le client reçoit le cookie, décrypte avec le mot de passe partagé en utilisant javascript (il y a beaucoup de enc/utilitaires dec disponibles)
Définissez le cookie en cours ou l'identifiant de session au GUID.
Cela garantirait que personne ne pourrait pirater la session à moins de connaître le mot de passe, qui n'est jamais envoyé sur le réseau.
SSL semble beaucoup plus facile, et est encore plus sécurisé.
EDIT: Ok, il a été fait - Nevermind ;-)
A propos d'accepter, mais désolé, mais je me sens comme je l'ai besoin de plus. Une référence ou deux, quelques arguments concernant l'usurpation/piratage ... il me semble faible d'utiliser une seule variable pour toute la procédure d'authentification. – Ben
Détournement de quoi ?! Session est une donnée entièrement stockée sur le serveur. – zerkms
@Steve: Je viens de demander spécifiquement sur votre question spécifique "Est-ce une mesure de sécurité assez forte en soi". Un autre commentaire avec un lien vers 'shiflett.org' a plusieurs conseils ** inutiles **. L'auteur n'a parfois aucune idée de quoi il parle. – zerkms