Attaque par fixation de session

[InstinctHack]

Salut,

Toujours sur mon framework, j'essaye de créer mon gestionnaire de session, de la doc j'ai repris ce code :

Code PHP :


class MySessionHandler implements \SessionHandlerInterface
{
    private $savePath;

    public function open($savePath, $sessionName)
    {
        $this->savePath = $savePath;
        if (!is_dir($this->savePath))
            mkdir($this->savePath, 0777);
        return true;
    }

    public function close()
    {
        return true;
    }

    public function read($id)
    {
        return (string)@file_get_contents($this->savePath.$id);
    }

    public function write($id, $data)
    {
        return file_put_contents($this->savePath.$id, $data) === false ? false : true;
    }

    public function destroy($id)
    {
        $file = $this->savePath.$id;
        if (file_exists($file))
            unlink($file);
        return true;
    }

    public function gc($maxlifetime)
    {
        foreach (glob($this->savePath.'*') as $file)
        {
            if (filemtime($file) + $maxlifetime < time() && file_exists($file))
                unlink($file);
        }
        return true;
    }
}

 

Outre les suppresions d'erreurs dégeulasses, cette ligne me pose quelques soucis de sécurité :

Code PHP :


return (string)@file_get_contents($this->savePath.$id);
 

$id étant le contenu du cookie {session_cookie_name} , bon outre le fait que "../htaccess" supprimerais la totalité du précieux fichier, je me demandais si ça posais pas de problème qu'un utilisateur puisse définir lui-même le SID...
Une attaque par fixation passerais par un lien page.php?PHPSESSID={new_id} mais là, ça me semble pas possible avec du javascript de send un header personnalisé.

Donc un coup de ctype et c'est bon ? où faut empecher l'utilisateur de le modifier en gardant une trace de chaque SID généré et de comparer avant ?