[spip-dev] [[spip-commit] CVS: spip/ecrire inc_session.php3,1.5,1.6]

@ Antoine Pitrou <antoine@rezo.net> :

  return md5 (getenv('REMOTE_ADDR') . getenv('HTTP_USER_AGENT') .
  getenv('HTTP_X_FORWARDED_FOR'));

Pitié, pas l'adresse IP, ça fout la merde avec les proxies, et quand on
se déconnecte de son provider.

"Ca fout la merde" = il faut redonner son mot de passe. Pas dramatique ?
Si on trouve mieux, je veux bien, mais le piratage façon Arno est une menace
réelle.

Je garde l'idée qu'on pourrait avoir une image, dans l'espace privé, servie
par un script du répertoire racine, et qui simplement changerait le cookie
de session à chaque fois qu'elle est appelée. Là, on est sûrs que s'il y a
deux fois le "même" auteur en ligne, l'un des deux se fait éjecter très
vite, et s'il se reconnecte (car il a le mot de passe) il reprend la main
illico.

Il faudra aussi faire le md5 jajascript pour l'envoi du pass vers
spip_cookie.php3

-- Fil

Fil wrote:

"Ca fout la merde" = il faut redonner son mot de passe. Pas dramatique ?
Si on trouve mieux, je veux bien, mais le piratage façon Arno est une menace
réelle.

Si t'as un proxy tournant, il faut redonner son mdp à chaque requête,
c'est génial.
Pour le piratage façon Arno, il faudrait savoir :
- sous quels navigateurs
- quelles versions des navigateurs
Si c'est juste IE, on met un message d'avertissement aux utilisateurs d'IE
leur conseillant d'utiliser un autre brouteur, et basta. Ca fera de la pub
pour Mozilla :wink:
De toute façon, c'est le même problème avec tous les systèmes par cookie.

Je garde l'idée qu'on pourrait avoir une image, dans l'espace privé, servie
par un script du répertoire racine, et qui simplement changerait le cookie
de session à chaque fois qu'elle est appelée.

Non, il y a des problèmes de mise en cache, et autres joyeusetés.

Il faudra aussi faire le md5 jajascript pour l'envoi du pass vers
spip_cookie.php3

Oui.

euh, non, c'est pas obligatoire, c'est juste un formulaire. En revanche
spip_cookie (celui qui reçoit le mot de passe et pose le cookie) a forcément
cet accès.

Autant vérifier avant si la connexion est bonne, histoire que le gars
ne tape pas son mot si ça ne sert à rien :wink: Et en plus, ça t'évite le if
sur inc_meta_cache, et ça te permet de récupérer toutes les infos que tu
veux depuis la base (je sais pas moi, ça peut servir).

a+