Est-il possible de simuler une variable de session ?
14 réponses
Jean Francois Ortolo
Bonjour
Question pour le php...
Je me suis laissé dire, sur le forum du site www.webrankinfo.com ,
qu'une variable de session était obligatoirement côté serveur , et qu'il
était impossible d'en créer ( ou d'en modifier ) une par le client ( que
ce soit un programme php ou un navigateur ).
Or, Monsieur John Gallet, en son temps, avait expliqué qu'il y avait
des failles de sécurité à utiliser des variables de session de contenu
fixe ( ou non codé ), ou en tout cas, dont le contenu était en relation
directe avec ce que l'on voulait cacher.
Pour l'instant, j'ai simplement besoin de savoir, si c'est possible
de créer une variable de session, avec un programme php client (par
exemple avec des fonction curl_*() ), qui "aspire" un site distant.
Dans un deuxième temps, j'aurai également besoin d'avoir la réponse à
cette même question, mais à partir d'un navigateur client ( au lieu d'un
programme php ).
Merci beaucoup au modérateur, de ne pas filtrer mon message, pour son
côté relatif au php. ;)
On 01/16/2012 10:35 PM, Jean Francois Ortolo wrote:
Face à celà, une seule et unique solution : C'est de mettre dans une variable de session, l'adresse ip des visiteurs, et de ne changer l'identificateur de session, que quand l'adresse ip remote est la même, que celle enregistrée dans la variable de session.
Et ça ne marchera pas si le visiteur est derrière un proxy à multiples sorties...
Bonjour Monsieur
Quand même, le site à protéger est un site de pronostics sur les courses de chevaux, dont les pronostics sont payants.
On suppose, que les visiteurs de ce site, ne sont pas cloîtrés dans une entreprise, derrière un proxy ?...
Il me faut bien supposer, que l'adresse ip remote, est fixe, sinon je ne peux absolument pas sécuriser ce site.
Il me semble, que même lors d'une connexion à un FAI par modem téléphonique, en crosude conexion l'adresse ip cliente ( remote ) ne change pas.
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois guère qu'AOL...
Quant aux Intranets d'entreprises, les Travailleurs, ne sont pas censé visiter le site, à leurs heures de travail ?
Merci beaucoup de votre réponse.
Bien amicalement.
Jean François Ortolo
Le 16/01/2012 22:55, Tonton Th a écrit :
On 01/16/2012 10:35 PM, Jean Francois Ortolo wrote:
Face à celà, une seule et unique solution : C'est de mettre dans
une variable de session, l'adresse ip des visiteurs, et de ne changer
l'identificateur de session, que quand l'adresse ip remote est la même,
que celle enregistrée dans la variable de session.
Et ça ne marchera pas si le visiteur est derrière un
proxy à multiples sorties...
Bonjour Monsieur
Quand même, le site à protéger est un site de pronostics sur les
courses de chevaux, dont les pronostics sont payants.
On suppose, que les visiteurs de ce site, ne sont pas cloîtrés dans
une entreprise, derrière un proxy ?...
Il me faut bien supposer, que l'adresse ip remote, est fixe, sinon je
ne peux absolument pas sécuriser ce site.
Il me semble, que même lors d'une connexion à un FAI par modem
téléphonique, en crosude conexion l'adresse ip cliente ( remote ) ne
change pas.
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois
guère qu'AOL...
Quant aux Intranets d'entreprises, les Travailleurs, ne sont pas
censé visiter le site, à leurs heures de travail ?
On 01/16/2012 10:35 PM, Jean Francois Ortolo wrote:
Face à celà, une seule et unique solution : C'est de mettre dans une variable de session, l'adresse ip des visiteurs, et de ne changer l'identificateur de session, que quand l'adresse ip remote est la même, que celle enregistrée dans la variable de session.
Et ça ne marchera pas si le visiteur est derrière un proxy à multiples sorties...
Bonjour Monsieur
Quand même, le site à protéger est un site de pronostics sur les courses de chevaux, dont les pronostics sont payants.
On suppose, que les visiteurs de ce site, ne sont pas cloîtrés dans une entreprise, derrière un proxy ?...
Il me faut bien supposer, que l'adresse ip remote, est fixe, sinon je ne peux absolument pas sécuriser ce site.
Il me semble, que même lors d'une connexion à un FAI par modem téléphonique, en crosude conexion l'adresse ip cliente ( remote ) ne change pas.
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois guère qu'AOL...
Quant aux Intranets d'entreprises, les Travailleurs, ne sont pas censé visiter le site, à leurs heures de travail ?
Merci beaucoup de votre réponse.
Bien amicalement.
Jean François Ortolo
Tonton Th
On 01/16/2012 11:02 PM, Jean Francois Ortolo wrote:
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois guère qu'AOL...
Et les accès par téléphonie mobile ?
--
Nous vivons dans un monde étrange/ http://foo.bar.quux.over-blog.com/
On 01/16/2012 11:02 PM, Jean Francois Ortolo wrote:
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois
guère qu'AOL...
Et les accès par téléphonie mobile ?
--
Nous vivons dans un monde étrange/
http://foo.bar.quux.over-blog.com/
On 01/16/2012 11:02 PM, Jean Francois Ortolo wrote:
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois guère qu'AOL...
Et les accès par téléphonie mobile ?
--
Nous vivons dans un monde étrange/ http://foo.bar.quux.over-blog.com/
Jean Francois Ortolo
Le 18/01/2012 12:07, Tonton Th a écrit :
On 01/16/2012 11:02 PM, Jean Francois Ortolo wrote:
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois guère qu'AOL...
Et les accès par téléphonie mobile ?
Bonjour Monsieur
Je n'ai pas d'idée par rapport aux téléphones mobiles.
Je croyais, que quand un téléphone mobile était connecté sur un site web, son adresse ip ne changeait pas.
Sinon, je ne vois pas comment il serait possible aux systèmes ( réellement ) sécurisés de paiement, de fonctionner, à moins effectivement d'utiliser la fameuse fonction qui affecte les différentes fonctions gérant les sessions ( me souviens plus du nom de cette fonction ).
A ce moment-là, les fonctions gérant les sessions, seraient des fonctions utilisateurs, et non plus des fonctions gérées par le système, donc avec force utilisation de mémorisation dans des tables MySQL...
Merci beaucoup, de bien vouloir me dire, si un téléphone portable en connexion internet avec un site web, va se mettre impromptu à changer son adresse ip cliente, alors que le visiteur continue à visiter le site ?...
Bien amicalement.
Jean François Ortolo
Le 18/01/2012 12:07, Tonton Th a écrit :
On 01/16/2012 11:02 PM, Jean Francois Ortolo wrote:
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois
guère qu'AOL...
Et les accès par téléphonie mobile ?
Bonjour Monsieur
Je n'ai pas d'idée par rapport aux téléphones mobiles.
Je croyais, que quand un téléphone mobile était connecté sur un site
web, son adresse ip ne changeait pas.
Sinon, je ne vois pas comment il serait possible aux systèmes (
réellement ) sécurisés de paiement, de fonctionner, à moins
effectivement d'utiliser la fameuse fonction qui affecte les différentes
fonctions gérant les sessions ( me souviens plus du nom de cette fonction ).
A ce moment-là, les fonctions gérant les sessions, seraient des
fonctions utilisateurs, et non plus des fonctions gérées par le système,
donc avec force utilisation de mémorisation dans des tables MySQL...
Merci beaucoup, de bien vouloir me dire, si un téléphone portable en
connexion internet avec un site web, va se mettre impromptu à changer
son adresse ip cliente, alors que le visiteur continue à visiter le site
?...
On 01/16/2012 11:02 PM, Jean Francois Ortolo wrote:
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois guère qu'AOL...
Et les accès par téléphonie mobile ?
Bonjour Monsieur
Je n'ai pas d'idée par rapport aux téléphones mobiles.
Je croyais, que quand un téléphone mobile était connecté sur un site web, son adresse ip ne changeait pas.
Sinon, je ne vois pas comment il serait possible aux systèmes ( réellement ) sécurisés de paiement, de fonctionner, à moins effectivement d'utiliser la fameuse fonction qui affecte les différentes fonctions gérant les sessions ( me souviens plus du nom de cette fonction ).
A ce moment-là, les fonctions gérant les sessions, seraient des fonctions utilisateurs, et non plus des fonctions gérées par le système, donc avec force utilisation de mémorisation dans des tables MySQL...
Merci beaucoup, de bien vouloir me dire, si un téléphone portable en connexion internet avec un site web, va se mettre impromptu à changer son adresse ip cliente, alors que le visiteur continue à visiter le site ?...
Bien amicalement.
Jean François Ortolo
Jean Francois Ortolo
Le 18/01/2012 12:07, Tonton Th a écrit :
On 01/16/2012 11:02 PM, Jean Francois Ortolo wrote:
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois guère qu'AOL...
Et les accès par téléphonie mobile ?
Bonsoir Monsieur
J'ai mis en place ce soir, ce procédé de sécurisation, sur mon site partenaire www.lescourses.com
J'ai accès, aux indications de l'intermédiaire de paiement de son Directeur ( Allopass ).
Je verrai d'ici quelques jours, si la rentabilité a augmenté brusquement depuis ce soir.
Je n'ai pas mis tout le procédé de sécurisation que j'envisageais ( une variable de session certifiant l'authentification, dépendant de l'adresse ip cliente, et du mot de passe crypté du visiteur, avec mémorisation de la connexion dans une table MySQL ), mais la sécurisation par modification systématique de le valeur de l'identificateur de session à chaque chargements de pages, devrait déjà décourager pas mail de hackers...
Bien amicalement.
Jean François Ortolo
Le 18/01/2012 12:07, Tonton Th a écrit :
On 01/16/2012 11:02 PM, Jean Francois Ortolo wrote:
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois
guère qu'AOL...
Et les accès par téléphonie mobile ?
Bonsoir Monsieur
J'ai mis en place ce soir, ce procédé de sécurisation, sur mon site
partenaire www.lescourses.com
J'ai accès, aux indications de l'intermédiaire de paiement de son
Directeur ( Allopass ).
Je verrai d'ici quelques jours, si la rentabilité a augmenté
brusquement depuis ce soir.
Je n'ai pas mis tout le procédé de sécurisation que j'envisageais (
une variable de session certifiant l'authentification, dépendant de
l'adresse ip cliente, et du mot de passe crypté du visiteur, avec
mémorisation de la connexion dans une table MySQL ), mais la
sécurisation par modification systématique de le valeur de
l'identificateur de session à chaque chargements de pages, devrait déjà
décourager pas mail de hackers...
On 01/16/2012 11:02 PM, Jean Francois Ortolo wrote:
Comme FAI changeant l'adresse ip en cours de connexion, je ne vois guère qu'AOL...
Et les accès par téléphonie mobile ?
Bonsoir Monsieur
J'ai mis en place ce soir, ce procédé de sécurisation, sur mon site partenaire www.lescourses.com
J'ai accès, aux indications de l'intermédiaire de paiement de son Directeur ( Allopass ).
Je verrai d'ici quelques jours, si la rentabilité a augmenté brusquement depuis ce soir.
Je n'ai pas mis tout le procédé de sécurisation que j'envisageais ( une variable de session certifiant l'authentification, dépendant de l'adresse ip cliente, et du mot de passe crypté du visiteur, avec mémorisation de la connexion dans une table MySQL ), mais la sécurisation par modification systématique de le valeur de l'identificateur de session à chaque chargements de pages, devrait déjà décourager pas mail de hackers...
