Bug avec les cookies d'une session
ahcorad
Messages postés
106
Date d'inscription
vendredi 17 juin 2005
Statut
Membre
Dernière intervention
23 octobre 2007
-
17 août 2006 à 19:48
Guillemouze Messages postés 991 Date d'inscription samedi 25 octobre 2003 Statut Membre Dernière intervention 29 août 2013 - 18 août 2006 à 11:59
Guillemouze Messages postés 991 Date d'inscription samedi 25 octobre 2003 Statut Membre Dernière intervention 29 août 2013 - 18 août 2006 à 11:59
10 réponses
davwart
Messages postés
855
Date d'inscription
mardi 19 novembre 2002
Statut
Membre
Dernière intervention
28 juillet 2009
1
17 août 2006 à 20:22
17 août 2006 à 20:22
Hello..
Il me semble que la session n'est valide tant que le browser reste ouvert.
SI tu fermes ton browser et reviens sur le site, tu deviens une nouvelle session par rapport au serveur.
-------------------------------------
Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
Il me semble que la session n'est valide tant que le browser reste ouvert.
SI tu fermes ton browser et reviens sur le site, tu deviens une nouvelle session par rapport au serveur.
-------------------------------------
Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
davwart
Messages postés
855
Date d'inscription
mardi 19 novembre 2002
Statut
Membre
Dernière intervention
28 juillet 2009
1
17 août 2006 à 20:24
17 août 2006 à 20:24
Complément: ceci n'est valable que si ton lifetime est null dans ton php.ini.
-------------------------------------
Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
-------------------------------------
Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
coockiesch
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
4
18 août 2006 à 09:14
18 août 2006 à 09:14
Salut!
Sinon, tu fais un système d'autolog, comme sur certains sites: se connecter automatiquement...
@++
R@f
www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Sinon, tu fais un système d'autolog, comme sur certains sites: se connecter automatiquement...
@++
R@f
www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Guillemouze
Messages postés
991
Date d'inscription
samedi 25 octobre 2003
Statut
Membre
Dernière intervention
29 août 2013
6
18 août 2006 à 09:21
18 août 2006 à 09:21
session != cookie
comme le dit davwart, une session est valide tt le temps que le navigateur est ouvert. certes, en general les sessions sont stockées dans un cookie, mais ca reste different de creer des cookies.
Au lieu d'enregistrer ta variable dans la session, enregistre la dans un cookie grace a la fonction setcookie
comme le dit davwart, une session est valide tt le temps que le navigateur est ouvert. certes, en general les sessions sont stockées dans un cookie, mais ca reste different de creer des cookies.
Au lieu d'enregistrer ta variable dans la session, enregistre la dans un cookie grace a la fonction setcookie
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
coockiesch
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
4
18 août 2006 à 11:10
18 août 2006 à 11:10
Mmmh... Et si y'a des données sensibles? C'est pas pour rien que les sessions sont sur le serveur normalement...
@++
R@f
www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
@++
R@f
www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Guillemouze
Messages postés
991
Date d'inscription
samedi 25 octobre 2003
Statut
Membre
Dernière intervention
29 août 2013
6
18 août 2006 à 11:38
18 août 2006 à 11:38
extrait tiré du site php:
Utiliser les sessions ne signifie pas que les données de session ne
pourront être vues que par un seul utilisateur. Il est important de
garder cela en tête lorsque vous stockez et affichez des données
importantes. Lorsque vous stockez des données dans une session,
il faut se demander quels seront les problèmes posés si quelqu'un
d'autre accède à cette information, ou comment votre application
est affectée si la session est en fait celle d'un autre.
Par exemple, si quelqu'un usurpe une session, il peut alors poster
un message dans un forum sous une fausse identité. Quelle est la
gravité de ce problème ? Ou bien, il peut accéder aux commandes
d'un client, et même, modifier son panier d'achat. À priori, c'est
moins problématique pour un fleuriste que pour un pharmacien.
Si vous voulez résoudre ce souci de façon simple, il peut être utile
d'activer <var class="literal">session.use_only_cookies</var>. Dans ce cas,
les cookies devront être activés par le client, sinon, les sessions ne
fonctionneront pas.
Par conséquent, lorsque vous manipulez des données importantes,
il faut exploiter d'autres méthodes pour décider si une session
est valide ou pas. Les sessions ne fournissent pas une méthode
fiable d'identification.
Les sessions reposent sur un identifiant de session, ce qui signifie
que quelqu'un peut voler cet identifiant, rien qu'en volant l'ID. Ce vol
peut être rendu très difficile, comme en utilisant les
cookies, mais en aucun cas cela sera impossible. Les sessions dépendent
aussi de la discipline de l'utilisateur qui referme son navigateur
à la fin de la session pour tout clore proprement.
De plus, même les cookies de session peuvent être
surveillés sur un réseau, ou bien notés par un proxy car ils transitent en
clair sur le réseau. Pour remédier à cela, vous devriez implémenter un
chiffrage SSL sur votre plate-forme.
Utiliser les sessions ne signifie pas que les données de session ne
pourront être vues que par un seul utilisateur. Il est important de
garder cela en tête lorsque vous stockez et affichez des données
importantes. Lorsque vous stockez des données dans une session,
il faut se demander quels seront les problèmes posés si quelqu'un
d'autre accède à cette information, ou comment votre application
est affectée si la session est en fait celle d'un autre.
Par exemple, si quelqu'un usurpe une session, il peut alors poster
un message dans un forum sous une fausse identité. Quelle est la
gravité de ce problème ? Ou bien, il peut accéder aux commandes
d'un client, et même, modifier son panier d'achat. À priori, c'est
moins problématique pour un fleuriste que pour un pharmacien.
Si vous voulez résoudre ce souci de façon simple, il peut être utile
d'activer <var class="literal">session.use_only_cookies</var>. Dans ce cas,
les cookies devront être activés par le client, sinon, les sessions ne
fonctionneront pas.
Par conséquent, lorsque vous manipulez des données importantes,
il faut exploiter d'autres méthodes pour décider si une session
est valide ou pas. Les sessions ne fournissent pas une méthode
fiable d'identification.
Les sessions reposent sur un identifiant de session, ce qui signifie
que quelqu'un peut voler cet identifiant, rien qu'en volant l'ID. Ce vol
peut être rendu très difficile, comme en utilisant les
cookies, mais en aucun cas cela sera impossible. Les sessions dépendent
aussi de la discipline de l'utilisateur qui referme son navigateur
à la fin de la session pour tout clore proprement.
De plus, même les cookies de session peuvent être
surveillés sur un réseau, ou bien notés par un proxy car ils transitent en
clair sur le réseau. Pour remédier à cela, vous devriez implémenter un
chiffrage SSL sur votre plate-forme.
coockiesch
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
4
18 août 2006 à 11:49
18 août 2006 à 11:49
Heu... oui!
Mais disons que usurper une session est plus difficile que d'aller dans le rep cookies d'un ordi partagé par plusieurs personnes, c'est tout! La doc ne dit pas tout non plus ;)
De plus, pour rendre plus difficile l'usurpation de session, il est possible d'empêcher d'utiliser les urls pour les sid ( session.use_cookies_only? )... Un cookie, par contre, restera tjs lisible!
@++
R@f
www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Mais disons que usurper une session est plus difficile que d'aller dans le rep cookies d'un ordi partagé par plusieurs personnes, c'est tout! La doc ne dit pas tout non plus ;)
De plus, pour rendre plus difficile l'usurpation de session, il est possible d'empêcher d'utiliser les urls pour les sid ( session.use_cookies_only? )... Un cookie, par contre, restera tjs lisible!
@++
R@f
www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
coockiesch
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
4
18 août 2006 à 11:49
18 août 2006 à 11:49
Heu... oui!
Mais disons que usurper une session est plus difficile que d'aller dans le rep cookies d'un ordi partagé par plusieurs personnes, c'est tout! La doc ne dit pas tout non plus ;)
De plus, pour rendre plus difficile l'usurpation de session, il est possible d'empêcher d'utiliser les urls pour les sid ( session.use_cookies_only? )... Un cookie, par contre, restera tjs lisible!
@++
R@f
www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Mais disons que usurper une session est plus difficile que d'aller dans le rep cookies d'un ordi partagé par plusieurs personnes, c'est tout! La doc ne dit pas tout non plus ;)
De plus, pour rendre plus difficile l'usurpation de session, il est possible d'empêcher d'utiliser les urls pour les sid ( session.use_cookies_only? )... Un cookie, par contre, restera tjs lisible!
@++
R@f
www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
coockiesch
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
4
18 août 2006 à 11:49
18 août 2006 à 11:49
pardon pour le double post, :)
www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Guillemouze
Messages postés
991
Date d'inscription
samedi 25 octobre 2003
Statut
Membre
Dernière intervention
29 août 2013
6
18 août 2006 à 11:59
18 août 2006 à 11:59
tu vois, tu t fai piquer ton seesion_id, et qqun a reenvoyer ton message
mais c vrai que les sessions restent plus sures que les cookies.
enfin dans tout les cas, la question posee, si je ne m'abuse, etait comment garder des données entre 2 ouvertures de navigateur, et non pas comment proteger les donnees persistantes
mais c vrai que les sessions restent plus sures que les cookies.
enfin dans tout les cas, la question posee, si je ne m'abuse, etait comment garder des données entre 2 ouvertures de navigateur, et non pas comment proteger les donnees persistantes