• [^] # Re: ...

    Posté par . En réponse à la dépêche Firesheep. Évalué à 4.

    Il faut le mettre en POST, c'est plus (mais juste à peine) discret.

    Le problème c'est que ça ne resiste pas non plus au sniff réseau et de plus, si tu fermes et rouvre le navigateur, il n'y a plus de session.

    Pendant un moment, j'essayais de faire un systeme de session qui resiste au sniff en http. C'est à dire que même en sniffant le réseau, tu ne peux pas "prendre" la session.

    J'ai fais un systeme de tchat à base de mots aléatoire envoyé à la creation de la 1ere page puis ensuite à chaque requette ajax, c'est un hash du mot+un mot connu. Le serveur renvoye un autre mot connu puis on recommence.

    Tu ne peux pas voler la session si tu ne connais pas le 1er mot.

    Mais bon, si la 1ere page est sniffé c'est foutu.

    Moralité : https, y a que ça de vrai !

    Moralité 2 : Création du compte en https, pose d'un cookie et ensuite systeme de numéro de session dynamique, ça peut le faire.

    Moralité 3 : https partout, quand on peut, y a que ça de vrai !