Posté par Moonz .
En réponse au message http session sécurité.
Évalué à 2.
Dernière modification le 25 juin 2018 à 14:55.
L’attaquant peut très bien avoir la même adresse IP qu’un client légitime. Un client légitime peut très bien changer d’adresse IP d’une page à l’autre (smartphone: je passe du Wifi à la 4G parce que je sors de chez moi par exemple).
La solution triviale et de bon sens à ton problème s’appelle HTTPS.
Si pour une raison étrange tu ne peux vraiment pas faire de HTTPS, tu n’as plus qu’à faire du DH à la main pour dériver un secret partagé et l’utiliser comme MAC pour authentifier ton cookie d’identifiant de session. Voir https://nacl.cr.yp.to/scalarmult.html et https://github.com/tonyg/js-nacl.
# HTTPS ou DH
Posté par Moonz . En réponse au message http session sécurité. Évalué à 2. Dernière modification le 25 juin 2018 à 14:55.
L’attaquant peut très bien avoir la même adresse IP qu’un client légitime. Un client légitime peut très bien changer d’adresse IP d’une page à l’autre (smartphone: je passe du Wifi à la 4G parce que je sors de chez moi par exemple).
La solution triviale et de bon sens à ton problème s’appelle HTTPS.
Si pour une raison étrange tu ne peux vraiment pas faire de HTTPS, tu n’as plus qu’à faire du DH à la main pour dériver un secret partagé et l’utiliser comme MAC pour authentifier ton cookie d’identifiant de session. Voir https://nacl.cr.yp.to/scalarmult.html et https://github.com/tonyg/js-nacl.