30-08-2008, 11:43 PM
Les sessions sont stockées sur le serveur et c'est le programme qui les enregistre. Ça ne vient donc pas de l'utilisateur et ne peut pas être manipulé par lui. C'est un endroit sûr (à ma connaissance).
Le seul risque (toujours à ma connaissance
), c'est l'usurpation de session. L'identifiant de session d'un utilisateur est souvent stockée dans un Cookie intitulé PHPSESSID. Parfois il passe dans l'URL sous forme de variable GET, il porte là aussi le nom de PHPSESSID.
Si un joueur A obtient le PHPSESSID d'un joueur B, il peut se faire passer pour lui sur le site (vu que c'est la session du joueur A qui est utilisée). Cela fait partie des attaques par CSRF (ou XSRF).
Quelques liens utiles :
Sephi-Chan
Le seul risque (toujours à ma connaissance
), c'est l'usurpation de session. L'identifiant de session d'un utilisateur est souvent stockée dans un Cookie intitulé PHPSESSID. Parfois il passe dans l'URL sous forme de variable GET, il porte là aussi le nom de PHPSESSID.Si un joueur A obtient le PHPSESSID d'un joueur B, il peut se faire passer pour lui sur le site (vu que c'est la session du joueur A qui est utilisée). Cela fait partie des attaques par CSRF (ou XSRF).
Quelques liens utiles :
- JDNet Développeur - PHP : se protéger contre les attaques XSS et CSRF
- ApprendrePHP - Introduction aux Cross Site Request Forgeries ou Sea Surf
- Wikipédia - Cross-Site Request Forgeries
Sephi-Chan