est ce que ma session est sécurisée?

[Zamentur]

@phenix: si c'est une réponse au faille CSRF sache que tu n'as pas compris comment se déroule l'attaque.
L'idée est justement de faire faire une action disponible sur le compte de quelqu'un sans qu'il ne s'en rende compte. Autrement dit ta protection n'est pas utile dans ce cas puisqu'on passe par l'appel de l'action est fait par le navigateur de la personne hacké...

D'ailleurs le système de jeton n'est pas tout à fait efficace(dans le cadre d'un siteweb avec des pages XHTML) mais il permet de compliquer les choses au hacker.

[My Hotel]

Simplement pour ajouter un lien au niveau des failles CSRF : http://www.siteduzero.com/tutoriel-3-157...-csrf.html.
Ca récapitule en gros les moyens de protection

Bye

[Ekilio]

@phenix : qui plus est, ta méthode pour les failles XSS n'est pas parfaite non plus, il est possible de spoofer une IP (remplacer son ip visible par une autre) et comme je l'ai indiqué plus haut également de modifier son id de session (en changeant le cookie).

Du coup dans ton cas, par exemple, si je réussit à récupérer l'id de session (j'aurais probablement aussi l'ip, du coup, avec un script bien conçu), je peux spoofer mon ip et demander une action sur ton serveur, et/ou une suite d'action, comme si j'étais quelqu'un d'autre.