A propos des sessions
Je viens de penser à un truc. Sedna pourra être utilisé indifféremment via les clients sedna ou via des plugins sur des logiciels existants (je pense notemment à un plugin mozilla pour gérer les bookmarks). Le problème est l'utilisation du sedna_id par plusieurs clients différents. Deux solutions s'offrent à moi:
- utiliser un sedna_id différent pour chaque client (bof).
- utiliser le même sedna_id pour tout le monde.
Je pencherais plutôt pour la deuxième solution. Pendant une tentative de login, sedna doit vérifier si l'utilisateur est déjà authentifié. Si c'est le cas, et si l'ip correspond, le sedna_id est renvoyé. Si l'ip ne correspond pas, un nouveau sedna_id est créé et envoyé. Si l'utilisateur n'est pas authentifié, la procédure d'authentification se déroule normalement.
Comments
bof bof bof...
Je suis un petit programme qui tourne sur ton pc a l'insu de ton plein grés attendant que tu t'identifie sur ton logiciel client de sedna. Une fois identifier, j'ai tout le loisir de me connecter a sedna car sedna me renvoi automatiquement l'id. J'ai donc plein pouvoir sur tes données...
Mauvaise pioche...
oui, mais ça peut arriver sur n'importe quel site.
imagine que tu t'inscrives à (disons) un forum de razmokets. tu t'identifies et tout. A côté tu as un soft qui tourne sur ton pc qui va fouiller les cookies de ton browser et qui récupère ton id de session sur le-dit forum. Voilà, il a accès a ton compte et peut poster des messages diffamatoires du genre "bon j'avoue, j'aime les teletubbies", et là t'as la honte sur tout le forum.
c'est pareil non ?
Le vrai problème, c'est que la librairie que j'utilise ne supporte pas SSL, donc n'importe quel programme capable de sniffer les flux http de ta machine peut récupérer ton login/pass, mais c'est vrai aussi pour n'importe quel autre site n'utilisant pas SSL.
donc, /me note pour plus tard: se renseigner sur SSL avec XML-RPC