Si tu veux une session sécurisée, il faut au minimum utiliser le HTTPS. Sinon, quelqu'un peut te voler la valeur du cookie, et éventuellement (s'il est motivé), se forger une adresse IP identique à celle de l'internaute.
Tu ne peux pas te baser sur l'adresse IP du client + le port, car si des internautes utilisent un proxy (en entreprise par ex) ou un telephone mobile, l'adresse IP et le port risquent de changer plus ou moins aléatoirement.
Par contre, ce qui changera mois, c'est le user agent (l'identifiant du navigateur). Tu peux mettre dans ton cookie un hash du user-agent + un salt coté serveur (+l'adresse IP en fonction de l'usage qui est fait de ton site).
Mais dans cas, si l'attaquant connait le user agent et le salt, il peut reconstituer le hash.
# vol de session
Posté par jemore . En réponse au message http session sécurité. Évalué à 2.
Si tu veux une session sécurisée, il faut au minimum utiliser le HTTPS. Sinon, quelqu'un peut te voler la valeur du cookie, et éventuellement (s'il est motivé), se forger une adresse IP identique à celle de l'internaute.
Tu ne peux pas te baser sur l'adresse IP du client + le port, car si des internautes utilisent un proxy (en entreprise par ex) ou un telephone mobile, l'adresse IP et le port risquent de changer plus ou moins aléatoirement.
Par contre, ce qui changera mois, c'est le user agent (l'identifiant du navigateur). Tu peux mettre dans ton cookie un hash du user-agent + un salt coté serveur (+l'adresse IP en fonction de l'usage qui est fait de ton site).
Mais dans cas, si l'attaquant connait le user agent et le salt, il peut reconstituer le hash.
On trouve quelques astuces interessantes sur StackOverflow : https://stackoverflow.com/questions/17413480/session-spoofing-php