Cookie et timezone
Polack77
Messages postés
1098
Date d'inscription
mercredi 22 mars 2006
Statut
Membre
Dernière intervention
22 octobre 2019
-
Modifié par Polack77 le 1/12/2014 à 14:50
Polack77 Messages postés 1098 Date d'inscription mercredi 22 mars 2006 Statut Membre Dernière intervention 22 octobre 2019 - 3 déc. 2014 à 23:37
Polack77 Messages postés 1098 Date d'inscription mercredi 22 mars 2006 Statut Membre Dernière intervention 22 octobre 2019 - 3 déc. 2014 à 23:37
4 réponses
mpmp93
Messages postés
6652
Date d'inscription
mercredi 13 avril 2011
Statut
Membre
Dernière intervention
28 septembre 2015
4
2 déc. 2014 à 11:39
2 déc. 2014 à 11:39
Bonjour,
En fait vous n'avez pas besoin de gérer un cookie si vous gérez une session.
La session est automatiquement associé à un cookie de session:
* la session est unique, un identifiant est donc généré aléatoirement pour chaque utilisateur. Et c'est cet identifiant qui représente l'état actuel de la session de travail. Il ne s'agit que d'un petit morceau de texte, unique à chaque visiteur, généré aléatoirement et long, en général, de 32 caractères.
* l'identifiant est soit stocké dans un cookie qui est passé de requêtes en requêtes, soit il transite dans l'URL,
Vous stockez dans la session les données nécessaires. Ceci est plus "secure" que des cookies. Car un cookie est un fichier texte que le client peut modifier. Alors que modifier un identifiant de session n'apportera rien, car le client va se retrouver dans une session inexistante...
A+
En fait vous n'avez pas besoin de gérer un cookie si vous gérez une session.
La session est automatiquement associé à un cookie de session:
* la session est unique, un identifiant est donc généré aléatoirement pour chaque utilisateur. Et c'est cet identifiant qui représente l'état actuel de la session de travail. Il ne s'agit que d'un petit morceau de texte, unique à chaque visiteur, généré aléatoirement et long, en général, de 32 caractères.
* l'identifiant est soit stocké dans un cookie qui est passé de requêtes en requêtes, soit il transite dans l'URL,
Vous stockez dans la session les données nécessaires. Ceci est plus "secure" que des cookies. Car un cookie est un fichier texte que le client peut modifier. Alors que modifier un identifiant de session n'apportera rien, car le client va se retrouver dans une session inexistante...
A+
Polack77
Messages postés
1098
Date d'inscription
mercredi 22 mars 2006
Statut
Membre
Dernière intervention
22 octobre 2019
1
2 déc. 2014 à 21:38
2 déc. 2014 à 21:38
Bonsoir,
Désolé pour le délai de réponse mais j'étais pas mal occupé aujourd'hui.
J'ai bien conscience de tout ce que tu m'expliques. Néanmoins comme tout bon étudiant un peu buté, je dirais : Ca répond pas à ma question ^^.
Les sessions ne sont pas totalement safe non plus. Sans passer par le certificat, on peut néamoin (légèrement) relever la sécurité. Par exemple, en doublant le code de session avec un système de ticket. Et si on ajoute une pitite couche d'osirification, on arrive à un résultat plutôt satisfaisant. Et sans trop se prendre le chou (enfin qui tiendra le coup face à un robo, un "vrai" pirate perdra juste un peu de temps).
Voila voila donc ma question reste entière ^^
A+
Désolé pour le délai de réponse mais j'étais pas mal occupé aujourd'hui.
J'ai bien conscience de tout ce que tu m'expliques. Néanmoins comme tout bon étudiant un peu buté, je dirais : Ca répond pas à ma question ^^.
Les sessions ne sont pas totalement safe non plus. Sans passer par le certificat, on peut néamoin (légèrement) relever la sécurité. Par exemple, en doublant le code de session avec un système de ticket. Et si on ajoute une pitite couche d'osirification, on arrive à un résultat plutôt satisfaisant. Et sans trop se prendre le chou (enfin qui tiendra le coup face à un robo, un "vrai" pirate perdra juste un peu de temps).
Voila voila donc ma question reste entière ^^
A+
mpmp93
Messages postés
6652
Date d'inscription
mercredi 13 avril 2011
Statut
Membre
Dernière intervention
28 septembre 2015
4
2 déc. 2014 à 23:49
2 déc. 2014 à 23:49
Un étudiant est là pour apprendre. Donc, je vous explique. 14 ans de pratique en PHP....
C'est quoi votre souci? La sécurité? La confidentialité?
Vous utilisez un cookie pour mémoriser des données sur une longue durée, mais l'utilisateur est libre de modifier ou détruire le cookie....
Vous utilisez les sessions sur une courte durée, mais l'utilisateur ne peut pas modifier le contenu des variables de session. Comme je le disais, une session est nécessairement associée à un "cookie".... L'ID de session est généré aléatoirement, donc à priori non falsifiable....
Certes, on peut voler une session, mais, sincèrement, il faut en avoir une utilisation qui justifie cette action. Je vois pas un hacker voler la session de Mr GLANDOUILLE surfant sur des sites de boules....
Moi je sais faire des claquettes. je sais aussi faire les pieds au mur. Mais les pieds au mur en faisant des claquettes, là c'est trop demander. Et votre histoire de cookies qui vivent le temps d'une session, c'est du même tonneau.
Sinon, en dehors de PHP, vous pouvez utiliser, via des applis en Java ou autres langages des connexions persistantes, un peu comme une connexion FTP..... Ca résoudrait votre problème, si problème il y a.
A+
C'est quoi votre souci? La sécurité? La confidentialité?
Vous utilisez un cookie pour mémoriser des données sur une longue durée, mais l'utilisateur est libre de modifier ou détruire le cookie....
Vous utilisez les sessions sur une courte durée, mais l'utilisateur ne peut pas modifier le contenu des variables de session. Comme je le disais, une session est nécessairement associée à un "cookie".... L'ID de session est généré aléatoirement, donc à priori non falsifiable....
Certes, on peut voler une session, mais, sincèrement, il faut en avoir une utilisation qui justifie cette action. Je vois pas un hacker voler la session de Mr GLANDOUILLE surfant sur des sites de boules....
Moi je sais faire des claquettes. je sais aussi faire les pieds au mur. Mais les pieds au mur en faisant des claquettes, là c'est trop demander. Et votre histoire de cookies qui vivent le temps d'une session, c'est du même tonneau.
Sinon, en dehors de PHP, vous pouvez utiliser, via des applis en Java ou autres langages des connexions persistantes, un peu comme une connexion FTP..... Ca résoudrait votre problème, si problème il y a.
A+
Polack77
Messages postés
1098
Date d'inscription
mercredi 22 mars 2006
Statut
Membre
Dernière intervention
22 octobre 2019
1
3 déc. 2014 à 23:34
3 déc. 2014 à 23:34
Je n'ai pas de soucis particuliers. Je tente simplement de comprendre un point, de détail c'est vrai, sur les cookies. La durée de vie est-elle dépendante de la date heure du client ou non.
Désolé si je vous ai contrarié.
Cordialement
Désolé si je vous ai contrarié.
Cordialement
jordane45
Messages postés
38139
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
20 avril 2024
344
2 déc. 2014 à 21:47
2 déc. 2014 à 21:47
Bonjour,
Voici quelques liens interessants à ce sujet :
http://php.developpez.com/cours/sessions/?page=page_4#LIV-B-3
http://www.journaldunet.com/developpeur/php/php-et-les-sessions/la-duree-de-vie-des-sessions.shtml
Voici quelques liens interessants à ce sujet :
http://php.developpez.com/cours/sessions/?page=page_4#LIV-B-3
http://www.journaldunet.com/developpeur/php/php-et-les-sessions/la-duree-de-vie-des-sessions.shtml
Polack77
Messages postés
1098
Date d'inscription
mercredi 22 mars 2006
Statut
Membre
Dernière intervention
22 octobre 2019
1
Modifié par Polack77 le 3/12/2014 à 23:37
Modifié par Polack77 le 3/12/2014 à 23:37
Bonsoir et merci pour ces liens. Je les étudirais en détail demain (désidement je n'arrive pas à me libérer du temps la semaine :/)
Déjà au 1er coup d'oeil le 1er semble répondre à une de mes questions (la durée de vie des sessions "session.gc_maxlifetime")
Bonne nuit :)
Déjà au 1er coup d'oeil le 1er semble répondre à une de mes questions (la durée de vie des sessions "session.gc_maxlifetime")
Bonne nuit :)
