Bug avec les cookies d'une session

Signaler
Messages postés
106
Date d'inscription
vendredi 17 juin 2005
Statut
Membre
Dernière intervention
23 octobre 2007
-
Messages postés
991
Date d'inscription
samedi 25 octobre 2003
Statut
Membre
Dernière intervention
29 août 2013
-
Bonsoir,
J'ai un souci avec les cookie pour un espace membre.
Si on se connecte et que l'on navigue sur le site tout marche OK !
mais quand on revien la session n'est pas enregistrée !

<?php



 session_start(); // On relaye la session
 if (session_is_registered("authentification"))
 { // vérification sur la session authentification (la session est elle enregistrée ?)
  // ici les éventuelles actions en cas de réussite de la connexion
 }
 else
 {
  header("Location:index.php?erreur=acces"); // redirection en cas d'echec
 }
?>

il ne faut peut-être pas utilisé cette méthode ??
enfin merci d'avance !

10 réponses

Messages postés
855
Date d'inscription
mardi 19 novembre 2002
Statut
Membre
Dernière intervention
28 juillet 2009
1
Hello..
Il me semble que la session n'est valide tant que le browser reste ouvert.
SI tu fermes ton browser et reviens sur le site, tu deviens une nouvelle session par rapport au serveur.
-------------------------------------
 Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
Messages postés
855
Date d'inscription
mardi 19 novembre 2002
Statut
Membre
Dernière intervention
28 juillet 2009
1
Complément: ceci n'est valable que si ton lifetime est null dans ton php.ini.

-------------------------------------
 Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
Salut!
Sinon, tu fais un système d'autolog, comme sur certains sites: se connecter automatiquement...

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
991
Date d'inscription
samedi 25 octobre 2003
Statut
Membre
Dernière intervention
29 août 2013
7
session != cookie
comme le dit davwart, une session est valide tt le temps que le navigateur est ouvert. certes, en general les sessions sont stockées dans un cookie, mais ca reste different de creer des cookies.
Au lieu d'enregistrer ta variable dans la session, enregistre la dans un cookie grace a la fonction setcookie
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
Mmmh... Et si y'a des données sensibles? C'est pas pour rien que les sessions sont sur le serveur normalement...

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
991
Date d'inscription
samedi 25 octobre 2003
Statut
Membre
Dernière intervention
29 août 2013
7
extrait tiré du site php:


Utiliser les sessions ne signifie pas que les données de session ne
pourront être vues que par un seul utilisateur. Il est important de
garder cela en tête lorsque vous stockez et affichez des données
importantes. Lorsque vous stockez des données dans une session,
il faut se demander quels seront les problèmes posés si quelqu'un
d'autre accède à cette information, ou comment votre application
est affectée si la session est en fait celle d'un autre.



Par exemple, si quelqu'un usurpe une session, il peut alors poster
un message dans un forum sous une fausse identité. Quelle est la
gravité de ce problème ? Ou bien, il peut accéder aux commandes
d'un client, et même, modifier son panier d'achat. À priori, c'est
moins problématique pour un fleuriste que pour un pharmacien.
Si vous voulez résoudre ce souci de façon simple, il peut être utile
d'activer <var class="literal">session.use_only_cookies</var>. Dans ce cas,
les cookies devront être activés par le client, sinon, les sessions ne
fonctionneront pas.



Par conséquent, lorsque vous manipulez des données importantes,
il faut exploiter d'autres méthodes pour décider si une session
est valide ou pas. Les sessions ne fournissent pas une méthode
fiable d'identification.



Les sessions reposent sur un identifiant de session, ce qui signifie
que quelqu'un peut voler cet identifiant, rien qu'en volant l'ID. Ce vol
peut être rendu très difficile, comme en utilisant les
cookies, mais en aucun cas cela sera impossible. Les sessions dépendent
aussi de la discipline de l'utilisateur qui referme son navigateur
à la fin de la session pour tout clore proprement.
De plus, même les cookies de session peuvent être
surveillés sur un réseau, ou bien notés par un proxy car ils transitent en
clair sur le réseau. Pour remédier à cela, vous devriez implémenter un
chiffrage SSL sur votre plate-forme.
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
Heu... oui!
Mais disons que usurper une session est plus difficile que d'aller dans le rep cookies d'un ordi partagé par plusieurs personnes, c'est tout! La doc ne dit pas tout non plus ;)

De plus, pour rendre plus difficile l'usurpation de session, il est possible d'empêcher d'utiliser les urls pour les sid ( session.use_cookies_only? )... Un cookie, par contre, restera tjs lisible!

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
Heu... oui!
Mais disons que usurper une session est plus difficile que d'aller dans le rep cookies d'un ordi partagé par plusieurs personnes, c'est tout! La doc ne dit pas tout non plus ;)

De plus, pour rendre plus difficile l'usurpation de session, il est possible d'empêcher d'utiliser les urls pour les sid ( session.use_cookies_only? )... Un cookie, par contre, restera tjs lisible!

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
pardon pour le double post, :)

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
991
Date d'inscription
samedi 25 octobre 2003
Statut
Membre
Dernière intervention
29 août 2013
7
tu vois, tu t fai piquer ton seesion_id, et qqun a reenvoyer ton message

mais c vrai que les sessions restent plus sures que les cookies.

enfin dans tout les cas, la question posee, si je ne m'abuse, etait comment garder des données entre 2 ouvertures de navigateur, et non pas comment proteger les donnees persistantes