02-12-2008, 11:34 PM
(31-08-2008, 01:41 AM)IGstaff a écrit :Sephi-Chan a écrit :Le seul risque (toujours à ma connaissance), c'est l'usurpation de session. L'identifiant de session d'un utilisateur est souvent stockée dans un Cookie intitulé PHPSESSID. Parfois il passe dans l'URL sous forme de variable GET, il porte là aussi le nom de PHPSESSID.
La solution n'est pas nouvelle et est utilisée par de grands jeux/sites...
Il faut vérifier que les IPs correspondent.
Ce n'est pas une bonne méthode.
D'une part parce que ceux qui utilisent volontairement des proxys ne pourraient pas accéder au jeu et d'autre part parce que les utilisateurs de type AOL ne pourront pas non plus y jouer.
Théoriquement, lorsqu'on développe une application, ce n'est pas dans l'optique de la sécuriser au point d'en empêcher l'accès.
Je serais curieux de savoir quels sites utilisent cette vieille méthode ?
Holy a écrit :Personnellement, dans tous mes jeux, j'empêche absolument une double connexion sur un même compte (petit script)
Une double connexion oui. Mais pas le vol de session.
Je ne comprends pas bien l'utilité de ce système, peux tu l'illustrer par un exemple pratique s'il te plaît ?
L'amphore à métaphore...