Sécuriser un Cookie d'authentification

ben l'ip peut changer pour ton visiteur, surtout s'il passe derriere un proxy (clients aol par exemple).
La meilleur solution, ben c'est de mettre une session.

 

Inclus un timestamp et un hash (MD5 par exemple) sur le timestamp, l'id de l'utilisateur et son mot de passe, ça devrait suffire, non?

Jacques.

 

quel serait le but?

car si un pirate arrive a te prendre tes cookies, il pourra les utiliser ...

 

Ca permet d'éviter que le cookie soit créé de toutes pièces (par opposition à un cookie qui dit simplement "authentification réussie, user=xxx" par exemple), et ça limite sa durée de vie, donc si quelqu'un arrive à le capter, il ne pourra pas l'utiliser éternellement (c'est toujours ça de pris). Le timestamp permet aussi de gérer des changements de clefs, par exemple.

Maintenant, si tu veux que le cookie ne puisse pas être intercepté, pas de miracle, il va falloir passer en SSL.

Jacques.

 

En y ajoutant un "fingerprint":
http://shiflett.org/articles/the-truth-about-sessions

 

L'explication donnée a l'air très bien (je n'ai pas lu, juste parcouru), par contre la solution me semble assez faiblarde, et pas forcément évidente (le choix des headers à inclure n'est pas forcément trivial: certains changent trop facilement, et d'autres sont tellement prévisibles que leur inclusion n'apporte pas grand chose). Ceci dit, s'il s'agit de sécuriser une ID de session sans authentification préalable, il n'y a pas grand chose à faire (mais il ne devrait pas y avoir grand chose à y récupérer non plus), la meilleure solution (pour éviter le risque que quelqu'un "devine" l'ID plutôt que ne le capture), étant probablement d'avoir des IDs non prévisibles (i.e. pas bêtement séquentiels).

Jacques.