niahoo a écrit :Hmm beau dialogue de sourds. bon j'ai un peu la flemme de continuer mais juste un trucC'est ce que je me disais, on est d'accord sur ce point
niahoo a écrit :Donc en gros ton framework il ne fait .. rien ? il donne la session au dernier connecté et invalide les précédentes. donc B pique la session (sans avoir le mot de passe évidemment sinon comme tu dis ce n'est pas une faille) et A (bobby, le vrai gentil) se retrouve déconnecté, et ensuite ? il retape son mot de passe toutes les 30 secondes. Ce n'est pas suffisant comme protection.Comment B pourrait prendre la session de A sans avoir le mot de passe ? Si A retape B est déconnecté ... d'ailleurs à chaque connexion un cookie de sécurité est générée.
Si B sniffe la connexion A cela changera rien au problème quelques soient les moyens déployer, non ?
niahoo a écrit :Je trouve que lui afficher toutes ses connexions courantes – ce qui lui permet au passage de voir qu'il est encore connecté au cyber – est mieux. Dans tous les cas, et c'est ce que je disais, si le pirate est connecté il peut le voir aussi. C'est bien que la faille est ailleurs et bloquer les connexions sur les IP est inutile (dans ce cas là).Mais le pirate pourra aussi déconnecté le gentil non ? et pourra le déconnecté tout le temps sans que le gentil puisse faire la moindre chose. Je trouve que la multi-session possède plus d'inconvénient dans ce cas
même si cela ne changera pas grand chose au final.D'autres part, je ne bloque pas par rapport à l'ip mais par rapport à la connexion établie, d'ailleurs cela explique pourquoi le papa et son garçon ne peuvent pas jouer en même temps ...
niahoo a écrit :Ou alors, comme je l'ai lu ici dans un autre topic, l'utilisateur est sur un iPhone et change d'IP à chaque requete. il envoie son mot de passe et se mange un header location vers /loginok/index, paf il change d'IP et se retrouve sur l'invite de mot de passe en boucle ?Les cookies sécurisés servent à cela, IP au départ sert surtout à identifier l'auteur de la connexion.
niahoo a écrit :Non vas-y, parce que justement je base mon boulot sur un serveur Comet donc les requetes à la seconde il y en a et ce n'est absolument pas un problème. Le serveur web est prévu pour ça.Les serveurs web sont créés pour cela, c'est sûr. As-tu déjà des tests de charge ou de stress d'une application ?