Bon vous laisse discuter alors
la communauté d'entraide francophone dédiée au PHP
sessions avancées
Te fâches pas dr@ke (même si je sais que tu n'es pas fâché). Au contraire je trouve cela passionnant et résultant de plein d'avantages que chacun confronte ses idées. (même si l'emploi du gras des derniers posts les rendent plus virulents)
Pour essayer de répondre à FuZZyLine, je ne considère pas l'IP comme absolu mais j'essaye de considérer l'IP + l'id de session (qu'il soit passé en cookies ou en $_GET) + d'autres sha1(variables) de ma sauce. Ces multiples variables permettent de baisser le risque de mauvaise identification. De même, considérer que le cookies envoyé pour la session est inviolable est aussi dangereux mais pour cela j'ai d'autres stratégies de vérification. Pour moi, sans être paranoïac (j'essaye), je considère que le poste client n'est que relatif et que, sans être pirate, le poste client peut faire une mauvaise manipulation qu'il faut prendre en considération (désactivation des cookies, du javascript, ... en cours de surf sur ton site par exemple).
Pour revenir à l'objet du débat : La stratégie de multiples sessions sur le même ordinateur est aussi très intéressante (même si c'est difficile à mettre en œuvre) dans le cas où tu désires avoir un compte ouvert tout en simulant un autre compte par exemple, ou lancer des processus avec des droits supérieurs et les visualiser avec un compte avec des droits inférieurs,... . Cela fait gagner du temps plutôt que se déconnecter/reconnecter avec un compte différent. Une méthode plus rapide à mettre en œuvre consiste à ouvrir le même site avec FIREFOX et IE par exemple. Deux systèmes de cookies différents : deux sessions...
Pour essayer de répondre à FuZZyLine, je ne considère pas l'IP comme absolu mais j'essaye de considérer l'IP + l'id de session (qu'il soit passé en cookies ou en $_GET) + d'autres sha1(variables) de ma sauce. Ces multiples variables permettent de baisser le risque de mauvaise identification. De même, considérer que le cookies envoyé pour la session est inviolable est aussi dangereux mais pour cela j'ai d'autres stratégies de vérification. Pour moi, sans être paranoïac (j'essaye), je considère que le poste client n'est que relatif et que, sans être pirate, le poste client peut faire une mauvaise manipulation qu'il faut prendre en considération (désactivation des cookies, du javascript, ... en cours de surf sur ton site par exemple).
Pour revenir à l'objet du débat : La stratégie de multiples sessions sur le même ordinateur est aussi très intéressante (même si c'est difficile à mettre en œuvre) dans le cas où tu désires avoir un compte ouvert tout en simulant un autre compte par exemple, ou lancer des processus avec des droits supérieurs et les visualiser avec un compte avec des droits inférieurs,... . Cela fait gagner du temps plutôt que se déconnecter/reconnecter avec un compte différent. Une méthode plus rapide à mettre en œuvre consiste à ouvrir le même site avec FIREFOX et IE par exemple. Deux systèmes de cookies différents : deux sessions...
It is nice to be important but it is more important to be nice
http://www.aureuswebfactory.fr
http://www.aureuswebfactory.fr
Oui j'aurais tendance a étre d'accord avec toi, on peut aller plus loin, si nous avons un mini réseaux entre deux micros pas de problémes.Pour revenir à l'objet du débat : La stratégie de multiples sessions sur le même ordinateur est aussi très intéressante (même si c'est difficile à mettre en œuvre) dans le cas où tu désires avoir un compte ouvert tout en simulant un autre compte par exemple, ou lancer des processus avec des droits supérieurs et les visualiser avec un compte avec des droits inférieurs,... . Cela fait gagner du temps plutôt que se déconnecter/reconnecter avec un compte différent. Une méthode plus rapide à mettre en œuvre consiste à ouvrir le même site avec FIREFOX et IE par exemple. Deux systèmes de cookies différents : deux sessions...
Cependant la vrais sécurité reste la session unique alors j'allais dire le login unique ... pourtant,
par exemple les banques, laissent faire. Mon mari regardes nos comptes et moi je fais un virement en même temps. donc deux micros sur la même IP et même FAI.
Alors je me dis ça doit pas étre trés grave ......
Un sourire pour conclure