Bug avec les cookies d'une session

ahcorad Messages postés 106 Date d'inscription vendredi 17 juin 2005 Statut Membre Dernière intervention 23 octobre 2007 - 17 août 2006 à 19:48
Guillemouze Messages postés 991 Date d'inscription samedi 25 octobre 2003 Statut Membre Dernière intervention 29 août 2013 - 18 août 2006 à 11:59
Bonsoir,
J'ai un souci avec les cookie pour un espace membre.
Si on se connecte et que l'on navigue sur le site tout marche OK !
mais quand on revien la session n'est pas enregistrée !

<?php



 session_start(); // On relaye la session
 if (session_is_registered("authentification"))
 { // vérification sur la session authentification (la session est elle enregistrée ?)
  // ici les éventuelles actions en cas de réussite de la connexion
 }
 else
 {
  header("Location:index.php?erreur=acces"); // redirection en cas d'echec
 }
?>

il ne faut peut-être pas utilisé cette méthode ??
enfin merci d'avance !

10 réponses

davwart Messages postés 855 Date d'inscription mardi 19 novembre 2002 Statut Membre Dernière intervention 28 juillet 2009 1
17 août 2006 à 20:22
Hello..
Il me semble que la session n'est valide tant que le browser reste ouvert.
SI tu fermes ton browser et reviens sur le site, tu deviens une nouvelle session par rapport au serveur.
-------------------------------------
 Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
0
davwart Messages postés 855 Date d'inscription mardi 19 novembre 2002 Statut Membre Dernière intervention 28 juillet 2009 1
17 août 2006 à 20:24
Complément: ceci n'est valable que si ton lifetime est null dans ton php.ini.

-------------------------------------
 Les ordinateurs, plus on s'en sert moins, moins ça a de chance de mal marcher. [Les Shadoks]
0
coockiesch Messages postés 2268 Date d'inscription mercredi 27 novembre 2002 Statut Membre Dernière intervention 13 septembre 2013 3
18 août 2006 à 09:14
Salut!
Sinon, tu fais un système d'autolog, comme sur certains sites: se connecter automatiquement...

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
0
Guillemouze Messages postés 991 Date d'inscription samedi 25 octobre 2003 Statut Membre Dernière intervention 29 août 2013 7
18 août 2006 à 09:21
session != cookie
comme le dit davwart, une session est valide tt le temps que le navigateur est ouvert. certes, en general les sessions sont stockées dans un cookie, mais ca reste different de creer des cookies.
Au lieu d'enregistrer ta variable dans la session, enregistre la dans un cookie grace a la fonction setcookie
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
coockiesch Messages postés 2268 Date d'inscription mercredi 27 novembre 2002 Statut Membre Dernière intervention 13 septembre 2013 3
18 août 2006 à 11:10
Mmmh... Et si y'a des données sensibles? C'est pas pour rien que les sessions sont sur le serveur normalement...

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
0
Guillemouze Messages postés 991 Date d'inscription samedi 25 octobre 2003 Statut Membre Dernière intervention 29 août 2013 7
18 août 2006 à 11:38
extrait tiré du site php:


Utiliser les sessions ne signifie pas que les données de session ne
pourront être vues que par un seul utilisateur. Il est important de
garder cela en tête lorsque vous stockez et affichez des données
importantes. Lorsque vous stockez des données dans une session,
il faut se demander quels seront les problèmes posés si quelqu'un
d'autre accède à cette information, ou comment votre application
est affectée si la session est en fait celle d'un autre.



Par exemple, si quelqu'un usurpe une session, il peut alors poster
un message dans un forum sous une fausse identité. Quelle est la
gravité de ce problème ? Ou bien, il peut accéder aux commandes
d'un client, et même, modifier son panier d'achat. À priori, c'est
moins problématique pour un fleuriste que pour un pharmacien.
Si vous voulez résoudre ce souci de façon simple, il peut être utile
d'activer <var class="literal">session.use_only_cookies</var>. Dans ce cas,
les cookies devront être activés par le client, sinon, les sessions ne
fonctionneront pas.



Par conséquent, lorsque vous manipulez des données importantes,
il faut exploiter d'autres méthodes pour décider si une session
est valide ou pas. Les sessions ne fournissent pas une méthode
fiable d'identification.



Les sessions reposent sur un identifiant de session, ce qui signifie
que quelqu'un peut voler cet identifiant, rien qu'en volant l'ID. Ce vol
peut être rendu très difficile, comme en utilisant les
cookies, mais en aucun cas cela sera impossible. Les sessions dépendent
aussi de la discipline de l'utilisateur qui referme son navigateur
à la fin de la session pour tout clore proprement.
De plus, même les cookies de session peuvent être
surveillés sur un réseau, ou bien notés par un proxy car ils transitent en
clair sur le réseau. Pour remédier à cela, vous devriez implémenter un
chiffrage SSL sur votre plate-forme.
0
coockiesch Messages postés 2268 Date d'inscription mercredi 27 novembre 2002 Statut Membre Dernière intervention 13 septembre 2013 3
18 août 2006 à 11:49
Heu... oui!
Mais disons que usurper une session est plus difficile que d'aller dans le rep cookies d'un ordi partagé par plusieurs personnes, c'est tout! La doc ne dit pas tout non plus ;)

De plus, pour rendre plus difficile l'usurpation de session, il est possible d'empêcher d'utiliser les urls pour les sid ( session.use_cookies_only? )... Un cookie, par contre, restera tjs lisible!

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
0
coockiesch Messages postés 2268 Date d'inscription mercredi 27 novembre 2002 Statut Membre Dernière intervention 13 septembre 2013 3
18 août 2006 à 11:49
Heu... oui!
Mais disons que usurper une session est plus difficile que d'aller dans le rep cookies d'un ordi partagé par plusieurs personnes, c'est tout! La doc ne dit pas tout non plus ;)

De plus, pour rendre plus difficile l'usurpation de session, il est possible d'empêcher d'utiliser les urls pour les sid ( session.use_cookies_only? )... Un cookie, par contre, restera tjs lisible!

@++

R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
0
coockiesch Messages postés 2268 Date d'inscription mercredi 27 novembre 2002 Statut Membre Dernière intervention 13 septembre 2013 3
18 août 2006 à 11:49
pardon pour le double post, :)

www.allpotes.ch: Photos, humour, vidéos, gags, ...
"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
0
Guillemouze Messages postés 991 Date d'inscription samedi 25 octobre 2003 Statut Membre Dernière intervention 29 août 2013 7
18 août 2006 à 11:59
tu vois, tu t fai piquer ton seesion_id, et qqun a reenvoyer ton message

mais c vrai que les sessions restent plus sures que les cookies.

enfin dans tout les cas, la question posee, si je ne m'abuse, etait comment garder des données entre 2 ouvertures de navigateur, et non pas comment proteger les donnees persistantes
0