Polack77
Messages postés1098Date d'inscriptionmercredi 22 mars 2006StatutMembreDernière intervention22 octobre 2019
-
Modifié par Polack77 le 1/12/2014 à 14:50
Polack77
Messages postés1098Date d'inscriptionmercredi 22 mars 2006StatutMembreDernière intervention22 octobre 2019
-
3 déc. 2014 à 23:37
Bonjour,
Je me forme en ce moment à différents languages. Et notamment le PHP. Bref, j'ai une petite question (très co_ sans doute).
Je voudrais créer (entre autres) des cookies avec des durées de vie égale à la durée de vie de mes sessions (pourquoi ? PACEQUEEEEEE !). Du coup mon cookie ne sera valide que 10 minutes environ (enfin suivant la config serveur). Et donc si mon client est dans un autre pays, mon cookie risque d'avoir une date de fin invalide (enfin côté client).
Et donc :
Est-ce bien la date heure du client qui est pris en compte ?
Si oui, le timezone influx-t-il ?
Et si mon client à modifié la date heure de sa machine (pour un réson étrange) cela influence aussi mes cookies ?
Merci d'avance :)
PS :
Il doit exister une variable qui indique la durée de vie des sessions. C'est quoi quoi donc son piti nom svp ?
mpmp93
Messages postés6652Date d'inscriptionmercredi 13 avril 2011StatutMembreDernière intervention28 septembre 20154 2 déc. 2014 à 11:39
Bonjour,
En fait vous n'avez pas besoin de gérer un cookie si vous gérez une session.
La session est automatiquement associé à un cookie de session:
* la session est unique, un identifiant est donc généré aléatoirement pour chaque utilisateur. Et c'est cet identifiant qui représente l'état actuel de la session de travail. Il ne s'agit que d'un petit morceau de texte, unique à chaque visiteur, généré aléatoirement et long, en général, de 32 caractères.
* l'identifiant est soit stocké dans un cookie qui est passé de requêtes en requêtes, soit il transite dans l'URL,
Vous stockez dans la session les données nécessaires. Ceci est plus "secure" que des cookies. Car un cookie est un fichier texte que le client peut modifier. Alors que modifier un identifiant de session n'apportera rien, car le client va se retrouver dans une session inexistante...
Polack77
Messages postés1098Date d'inscriptionmercredi 22 mars 2006StatutMembreDernière intervention22 octobre 20191 2 déc. 2014 à 21:38
Bonsoir,
Désolé pour le délai de réponse mais j'étais pas mal occupé aujourd'hui.
J'ai bien conscience de tout ce que tu m'expliques. Néanmoins comme tout bon étudiant un peu buté, je dirais : Ca répond pas à ma question ^^.
Les sessions ne sont pas totalement safe non plus. Sans passer par le certificat, on peut néamoin (légèrement) relever la sécurité. Par exemple, en doublant le code de session avec un système de ticket. Et si on ajoute une pitite couche d'osirification, on arrive à un résultat plutôt satisfaisant. Et sans trop se prendre le chou (enfin qui tiendra le coup face à un robo, un "vrai" pirate perdra juste un peu de temps).
Voila voila donc ma question reste entière ^^
A+
mpmp93
Messages postés6652Date d'inscriptionmercredi 13 avril 2011StatutMembreDernière intervention28 septembre 20154 2 déc. 2014 à 23:49
Un étudiant est là pour apprendre. Donc, je vous explique. 14 ans de pratique en PHP....
C'est quoi votre souci? La sécurité? La confidentialité?
Vous utilisez un cookie pour mémoriser des données sur une longue durée, mais l'utilisateur est libre de modifier ou détruire le cookie....
Vous utilisez les sessions sur une courte durée, mais l'utilisateur ne peut pas modifier le contenu des variables de session. Comme je le disais, une session est nécessairement associée à un "cookie".... L'ID de session est généré aléatoirement, donc à priori non falsifiable....
Certes, on peut voler une session, mais, sincèrement, il faut en avoir une utilisation qui justifie cette action. Je vois pas un hacker voler la session de Mr GLANDOUILLE surfant sur des sites de boules....
Moi je sais faire des claquettes. je sais aussi faire les pieds au mur. Mais les pieds au mur en faisant des claquettes, là c'est trop demander. Et votre histoire de cookies qui vivent le temps d'une session, c'est du même tonneau.
Sinon, en dehors de PHP, vous pouvez utiliser, via des applis en Java ou autres langages des connexions persistantes, un peu comme une connexion FTP..... Ca résoudrait votre problème, si problème il y a.
A+
Polack77
Messages postés1098Date d'inscriptionmercredi 22 mars 2006StatutMembreDernière intervention22 octobre 20191 3 déc. 2014 à 23:34
Je n'ai pas de soucis particuliers. Je tente simplement de comprendre un point, de détail c'est vrai, sur les cookies. La durée de vie est-elle dépendante de la date heure du client ou non.