rejouer (??? quel jargon mes amis!) le cookie de session, en jajascript, pour...

rejouer (??? quel jargon mes amis!) le cookie de session, en jajascript, pour eviter vol de cookie facon Arno.

ecrire/inc_presentation.php3

@@ -1528,7 +1528,9 @@ function fin_html() {
 <p align='right'><font face="Verdana, Arial, Helvetica, sans-serif" size='2'>
 <a href='http://www.uzine.net/spip'>SPIP <?php echo $spip_version_affichee; ?></a>
 est distribu&eacute; <a href='gpl.txt'>sous licence GPL</a>.</p>
-</body></html>
+<?php if ($GLOBALS['spip_session']) {
+	echo '<script src="../spip_cookie.php3?rejoue=oui"></script>';
+} ?></body></html>
 <?php
 	flush();
 }

inc-public.php3

@@ -319,6 +319,10 @@ if (($admin_ok OR ($auteur_session['statut'] == '0minirezo')) AND !$flag_preserv
 	echo "</form>\n";
 }
 
+// protection contre tentative de piratage de cookie de session
+if ($spip_session) {
+    echo '<script src="spip_cookie.php3?rejoue=oui"></script>';
+}
 
 //
 // Gestion des statistiques par article

spip_cookie.php3

@@ -6,6 +6,19 @@ include_ecrire ("inc_meta.php3");
 include_ecrire ("inc_session.php3");
 
 
+// rejoue le cookie pour renouveler spip_session
+if ($rejoue==oui) {
+	if (verifier_session($spip_session)) {
+		$cookie = creer_cookie_session($auteur_session);
+		supprimer_session($spip_session);
+		setcookie ('spip_session', $spip_session, time() - 24 * 7 * 3600);
+		setcookie ('spip_session', $cookie, time() + 24 * 7 * 3600);
+		@header('Content-Type: text/javascript')
+		echo " \n";	// ne pas renvoyer un fichier vide, ca fait ramer.
+		exit;
+	}
+}
+
 // tentative de login
 if ($cookie_session == "non") {
 	supprimer_session($spip_session);