13-02-2008, 11:37 PM
RoworII +1 ^^
Suite aux différentes discutions sur ce thème, je réfléchissais à un système comme celui que tu viens d'énoncer.
Dans mon cas principalement, ce ne sera pas la variable email à vérifier, mais la variable 'y'a t-il quelque chose en base de donnée sur lequel je devrais aller voir ?'
Ainsi, si une aura d'un joueur A affecte un autre joueur B, la session de ce dernier (B) est juste avertie que quelque chose lui est arrivé, et le joueur B recalculera automatiquement à partir de la BDD, toutes ses variables comme cela arrive à la connection.
La faille que l'on puisse trouver par contre, se situe dans l'intervalle de temps pendant laquelle le joueur ouvre la session de son collègue.
Il faut vraiment que ce soit pour une courte période (le temps d'un modification de variable de session ne me semble pas long ^^). Donc pour les développeurs, n'y collez pas une fonction bien lourde. Peut-être que des calculs peuvent s'effectuer en préliminaire de l'acquisition de la session.
De mon côté, quand j'aurais du temps (et j'arrive à en trouver sur ce forum ...) je testerais bien la sécurité de ce modèle... On pourrait prévoir un verrou ? comment ? en cookies ?
Bon, je file au lit ...
kéké.
Suite aux différentes discutions sur ce thème, je réfléchissais à un système comme celui que tu viens d'énoncer.
Dans mon cas principalement, ce ne sera pas la variable email à vérifier, mais la variable 'y'a t-il quelque chose en base de donnée sur lequel je devrais aller voir ?'
Ainsi, si une aura d'un joueur A affecte un autre joueur B, la session de ce dernier (B) est juste avertie que quelque chose lui est arrivé, et le joueur B recalculera automatiquement à partir de la BDD, toutes ses variables comme cela arrive à la connection.
La faille que l'on puisse trouver par contre, se situe dans l'intervalle de temps pendant laquelle le joueur ouvre la session de son collègue.
Il faut vraiment que ce soit pour une courte période (le temps d'un modification de variable de session ne me semble pas long ^^). Donc pour les développeurs, n'y collez pas une fonction bien lourde. Peut-être que des calculs peuvent s'effectuer en préliminaire de l'acquisition de la session.
De mon côté, quand j'aurais du temps (et j'arrive à en trouver sur ce forum ...) je testerais bien la sécurité de ce modèle... On pourrait prévoir un verrou ? comment ? en cookies ?
Bon, je file au lit ...
kéké.