Par défaut, dans PHP 4, Les sessions ID qui identifient les utilisateurs sont stockés dans le répertoire /tmp/. Toute personne accédant à ce répertoire peut donc faire du spoofing en récupérant les numéros de session.
Les scripts PHP, quand PHP tourne en module, héritent des permissions d’Apache.
Pour y remédier :
Créer un répertoire /tmp/php_sessions
Mettre à jour php.ini pour indiquer ce répertoire
chown utilisateur_apache php_sessions
chmod 300 php_sessions
