Alternatives à la liaison de session IP

Question

Je ne suis pas sûr que l'idée de lier les IP aux sessions soit bonne.

Quelles sont les alternatives ?

Voici ce que j'ai actuellement :

• Le navigateur envoie l'ID de la session
• Le serveur vérifie si la session n'a pas expiré

Mais que se passe-t-il si un tiers découvre d'une manière ou d'une autre l'identifiant de session ? Devrais-je me préoccuper de cette possibilité ? Lier la session à une IP rendrait plus difficile une telle falsification de session, mais il existe des cas où plusieurs utilisateurs peuvent apparaître avec la même IP.

Je ne sais pas quoi faire ! :(

Answer 1

JAMAIS écrire votre propre gestionnaire de session, utiliser ce qui est fourni avec votre plateforme. Limiter à l'adresse IP n'est pas une bonne idée. Les adresses IP changent pour des raisons légitimes, par exemple si l'utilisateur est derrière un équilibreur de charge. De plus, que se passe-t-il s'il s'agit d'un réseau wifi gratuit ? Alors tout le monde a accès.

Answer 2

Je préfère lier l'agent utilisateur plutôt que l'IP pour les raisons mentionnées ci-dessus. En liant l'agent utilisateur, il est un peu plus difficile de rejouer le cookie.

Le SSL est très utile pour prévenir les attaques de type "Man-in-the-middle", mais il ne s'agit pas d'une solution magique qui "sécurise tout". Si votre site Web est vulnérable au XSS, les cookies ne sont pas sûrs (et par extension, l'identifiant de session).

Aussi : attention à la fixation de la session.