22-12-2010, 03:14 PM
(Modification du message : 22-12-2010, 03:16 PM par NicoMSEvent.)
@Blarg : pour bidouiller les identifiants de session, il faut avoir la bonne chaine (32 char?), qui est aléatoirement donnée au visiteur. On ne saurait que "voler" la session de quelqu'un d'autre a condition que cette personne soit restée connectée (pas de déco explicite lorsqu'il quitte le jeu)
De plus, comme le login(email)/mot de passe ne sont pas stockés dans le cookie (ni dans la session), impossible de les voler.
On ne saurait pas changer l'identifiant du joueur qui est stocké coté serveur (dans la session), je ne comprends pas pourquoi tu t'inquiète pour ça
Il n'y arait pas une confusion entre identifiant du joueur(clé primaire), et identifiant de session(chaine aléatoire de 32char)?
Je ne comprends pas pourquoi tu teste dans ce morceau de code l'utilisateur déjà connecté, puisque dans cette portion, l'utilisateur n'est en principe pas connecté. Et si il n'est déjà, on n'a pas de moyen de le savoir sans ajouter l'adresse IP, ou une autre information (identifiant de session?) qui n'est pas prévue dans cet exemple.
Je tiens a rester le plus simple possible afin que les principes de base soit compris, ici je n'apprends pas la sécurité avancée (qui fera l'objet d'un futur tutorial), ni les cas trop spécifiques
De plus, comme le login(email)/mot de passe ne sont pas stockés dans le cookie (ni dans la session), impossible de les voler.
On ne saurait pas changer l'identifiant du joueur qui est stocké coté serveur (dans la session), je ne comprends pas pourquoi tu t'inquiète pour ça
Il n'y arait pas une confusion entre identifiant du joueur(clé primaire), et identifiant de session(chaine aléatoire de 32char)?
Je ne comprends pas pourquoi tu teste dans ce morceau de code l'utilisateur déjà connecté, puisque dans cette portion, l'utilisateur n'est en principe pas connecté. Et si il n'est déjà, on n'a pas de moyen de le savoir sans ajouter l'adresse IP, ou une autre information (identifiant de session?) qui n'est pas prévue dans cet exemple.
Je tiens a rester le plus simple possible afin que les principes de base soit compris, ici je n'apprends pas la sécurité avancée (qui fera l'objet d'un futur tutorial), ni les cas trop spécifiques
Je signale que je ne détiens pas la vérité unique et absolue, je peux me tromper. La critique peut aussi être constructive. Critiquez moi!
La quête d'Ewilan
http://easy2hack.ma-soiree.be
La quête d'Ewilan
http://easy2hack.ma-soiree.be