Pb avec lien href

Le
Eric - Lucifer
Bonjour à tous.

J'ai développé un site web privé (pour la famille) et j'utilise
l'authentification par session Apache. Sous IE7 et tout autre navigateur,
tout fonctionne parfaitement en ce qui concerne l'entrée dans le site.

Mais j'ai un pb avec la sortie ! En effet, pour quitter la session, je
demande aux visiteurs de cliquer sur un lien "Quitter" prenant la forme
suivante :
<a href="http://logout:logout@[mon domaine]/logout/logout.php">Quitter</a>

Or, avec IE6 et tous autre navigateur, çà marche. Mais avec IE7, le lien
n'est pas actif. Comme si IE7 ne reconnaissait pas ceci comme un lien
valide. Pourtant, tout mon site est validé xhtml strict par le W3C via Tidy.

Je précise également que j'ai fais des essais à partir d'autres PC que le
mien dont un depuis un Cyber café : Même soucis !

Quelqu'un aurait-il déjà rencontré ce problème ? S'agit-il d'un bug d'IE7 ?
Est-il connu ? Une solution est-elle envisageable ?

Bref, merci pour tous renseignements que vous pourrez m'apporter

Cordialement,

Eric
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Lempel
Le #474196
Il y a quelque chose qui m'échappe...
Pourquoi cette procédure alambiquée pour quitter ton site ?
Alors qu'il suffit de quitter le navigateur par les procédures normales qui
sont incluses dans celui-ci
(pour IE7 fichier, quitter ; ou bien cliquer en haut à droite sur la croix
blanche sur fond rouge).

Je ne cache pas ma perplexité....
Mais tu dois avoir de bonnes raisons.

--
http://www.lempel.net
http://www.les-os-du-cosmos.fr
B. Lempel
______________________________________

"Eric - Lucifer" 462a3b2b$0$2524$
| Bonjour à tous.
|
| J'ai développé un site web privé (pour la famille) et j'utilise
| l'authentification par session Apache. Sous IE7 et tout autre navigateur,
| tout fonctionne parfaitement en ce qui concerne l'entrée dans le site.
|
| Mais j'ai un pb avec la sortie ! En effet, pour quitter la session, je
| demande aux visiteurs de cliquer sur un lien "Quitter" prenant la forme
| suivante :
| |
| Or, avec IE6 et tous autre navigateur, çà marche. Mais avec IE7, le lien
| n'est pas actif. Comme si IE7 ne reconnaissait pas ceci comme un lien
| valide. Pourtant, tout mon site est validé xhtml strict par le W3C via
Tidy.
|
| Je précise également que j'ai fais des essais à partir d'autres PC que le
| mien dont un depuis un Cyber café : Même soucis !
|
| Quelqu'un aurait-il déjà rencontré ce problème ? S'agit-il d'un bug d'IE7
?
| Est-il connu ? Une solution est-elle envisageable ?
|
| Bref, merci pour tous renseignements que vous pourrez m'apporter
|
| Cordialement,
|
| Eric
|
|
Fred
Le #474195
Dans : news:462a3b2b$0$2524$,
Eric - Lucifer écrivait :

Bonjour à tous.


Bsonoir,


<a href="http://logout:logout@[mon
domaine]/logout/logout.php">Quitter</a>


Regarde si ceci peut s'appliquer à IE7 (je n'ai pas testé)

http://support.microsoft.com/kb/834489/fr


--
Fred
http://www.cerber mail.com/?3kA6ftaCvT (enlever l'espace)

Eric - Lucifer
Le #474194
"Lempel" OjYr%
Il y a quelque chose qui m'échappe...
Pourquoi cette procédure alambiquée pour quitter ton site ?
Alors qu'il suffit de quitter le navigateur par les procédures normales
qui
sont incluses dans celui-ci
(pour IE7 fichier, quitter ; ou bien cliquer en haut à droite sur la croix
blanche sur fond rouge).

Je ne cache pas ma perplexité....
Mais tu dois avoir de bonnes raisons.

--
http://www.lempel.net
http://www.les-os-du-cosmos.fr
B. Lempel
______________________________________

"Eric - Lucifer" 462a3b2b$0$2524$
| Bonjour à tous.
|
| J'ai développé un site web privé (pour la famille) et j'utilise
| l'authentification par session Apache. Sous IE7 et tout autre
navigateur,
| tout fonctionne parfaitement en ce qui concerne l'entrée dans le site.
|
| Mais j'ai un pb avec la sortie ! En effet, pour quitter la session, je
| demande aux visiteurs de cliquer sur un lien "Quitter" prenant la forme
| suivante :
| <a href="http://logout:logout@[mon
domaine]/logout/logout.php">Quitter</a>
|
| Or, avec IE6 et tous autre navigateur, çà marche. Mais avec IE7, le lien
| n'est pas actif. Comme si IE7 ne reconnaissait pas ceci comme un lien
| valide. Pourtant, tout mon site est validé xhtml strict par le W3C via
Tidy.
|
| Je précise également que j'ai fais des essais à partir d'autres PC que
le
| mien dont un depuis un Cyber café : Même soucis !
|
| Quelqu'un aurait-il déjà rencontré ce problème ? S'agit-il d'un bug
d'IE7
?
| Est-il connu ? Une solution est-elle envisageable ?
|
| Bref, merci pour tous renseignements que vous pourrez m'apporter
|
| Cordialement,
|
| Eric
|
|


Bonsoir et merci pour ta réponse.

J'ai effectivement de bonnes raisons de mettre ce système en place. La plus
importante étant que les visiteurs de mon site ne se contentent pas de ne
visiter que celui-là. Normalement, on quitte un site web pour en visiter un
autre.
Dans ce cas, la session Apache reste ouverte tant que le navigateur n'est
pas complètement fermé (et cloture les cookies de session). Ceci génère une
faille (minime, certe) de la sécurité de mon site perso. Elle s'applique
d'ailleurs à n'importe quel navigateur. Même si l'on utilise les onglets
sous Firefox et, maintenant, sous IE7.

J'ai fais plusieurs tests sur ce point. Si l'on quitte un site soumis à
authentification Apache soit en chargeant une nouvelle URL dans la même
fenêtre / onglet, soit en fermant la fenêtre / onglet sans quitter le
navigateur, il n'est plus nécessaire de s'authentifier pour accéder à
nouveau au site web.
Je fais peut-être un peu dans la parano mais mes visiteurs sont généralement
à des années lumière en matière de sécurisation de leur connexion internet.
Un keylogger ou autre cheval de troie peu trsè facilement donner un accès à
toutes sortes de sites. Et pas seulement au mien, qui ne présente que peut
d'intérêt.

Bref, sur le même principe de l'inscription sur des forum, lorsqu'on les
quitte, il est bon de se déconnecter avant. Non ?

Amicalement,

Eric

Eric - Lucifer
Le #474193
"Fred"
Dans : news:462a3b2b$0$2524$,
Eric - Lucifer écrivait :

Bonjour à tous.


Bsonoir,


<a href="http://logout:logout@[mon
domaine]/logout/logout.php">Quitter</a>


Regarde si ceci peut s'appliquer à IE7 (je n'ai pas testé)

http://support.microsoft.com/kb/834489/fr


--
Fred
http://www.cerber mail.com/?3kA6ftaCvT (enlever l'espace)


Bonsoir Fred.

Merci pour ce lien très intéressant. Je vais éplucher cette KB qui doit
certainement s'appliquer à IE7 puisqu'il doit, normalement, être plus
sécurisé (sécurisant?) que ses prédécesseurs.

Je suis tout de même un peu perplexe car avec IE6 (à jour de tous les patchs
correctifs), je n'ai jamais eu ce pb. Il y a peut-être une option cachée
dans IE7 pour obtenir un comportement identique ?

Mais d'abord cette KB. Le reste, plus tard si çà persiste.

Merci encore.

Amicalement,

Eric


Eric - Lucifer
Le #474192
"Eric - Lucifer" 462a610f$0$3867$
"Fred"
Dans : news:462a3b2b$0$2524$,
Eric - Lucifer écrivait :

Bonjour à tous.


Bsonoir,


<a href="http://logout:logout@[mon
domaine]/logout/logout.php">Quitter</a>


Regarde si ceci peut s'appliquer à IE7 (je n'ai pas testé)

http://support.microsoft.com/kb/834489/fr


--
Fred
http://www.cerber mail.com/?3kA6ftaCvT (enlever l'espace)


Bonsoir Fred.

Merci pour ce lien très intéressant. Je vais éplucher cette KB qui doit
certainement s'appliquer à IE7 puisqu'il doit, normalement, être plus
sécurisé (sécurisant?) que ses prédécesseurs.

Je suis tout de même un peu perplexe car avec IE6 (à jour de tous les
patchs correctifs), je n'ai jamais eu ce pb. Il y a peut-être une option
cachée dans IE7 pour obtenir un comportement identique ?

Mais d'abord cette KB. Le reste, plus tard si çà persiste.

Merci encore.

Amicalement,

Eric


Je reviens vite fait pour donner le résultat de mes investigations sur la
KB. Cela pourrait en intéresser d'autres que moi.
La solution se trouvait à la fin du document :
Désactivation du nouveau comportement par défaut pour la gestion des
informations utilisateur dans les URL HTTP ou HTTPS
Pour désactiver le nouveau comportement par défaut dans l'Explorateur
Windows et Internet Explorer, créez les valeurs DWORD iexplore.exe et
explorer.exe dans l'une des clés de Registre suivantes et définissez leurs
données de valeur sur 0. . Pour tous les utilisateurs du programme,
définissez la valeur dans la clé de Registre suivante :
HKEY_LOCAL_MACHINESoftwareMicrosoftInternet
ExplorerMainFeatureControlFEATURE_HTTP_USERNAME_PASSWORD_DISABLE
. Pour l'utilisateur actuel du programme uniquement, définissez la
valeur dans la clé de Registre suivante :
HKEY_CURRENT_USERSoftwareMicrosoftInternet
ExplorerMainFeatureControlFEATURE_HTTP_USERNAME_PASSWORD_DISABLE


J'ai créé la valeur DWORD pour iexplore.exe à 0 et çà fonctionne ! En tous
cas sur mon PC. Maintenant, il faut que je trouve un moyen de passer ceci à
mes visiteurs...

Merci à nouveau à Fred pour ton aide !

Amicalement,

Eric



Lempel
Le #474190
Merci pour ta réponse.
Maintenant je comprend tes raisons.

--
http://www.lempel.net
http://www.les-os-du-cosmos.fr
B. Lempel
______________________________________

"Eric - Lucifer" 462a5f92$0$28889$
| "Lempel" | OjYr%
| > Il y a quelque chose qui m'échappe...
| > Pourquoi cette procédure alambiquée pour quitter ton site ?
| > Alors qu'il suffit de quitter le navigateur par les procédures normales
| > qui
| > sont incluses dans celui-ci
| > (pour IE7 fichier, quitter ; ou bien cliquer en haut à droite sur la
croix
| > blanche sur fond rouge).
| >
| > Je ne cache pas ma perplexité....
| > Mais tu dois avoir de bonnes raisons.
| >
| > --
| > http://www.lempel.net
| > http://www.les-os-du-cosmos.fr
| > B. Lempel
| > ______________________________________
| >
| > "Eric - Lucifer" | > 462a3b2b$0$2524$
| > | Bonjour à tous.
| > |
| > | J'ai développé un site web privé (pour la famille) et j'utilise
| > | l'authentification par session Apache. Sous IE7 et tout autre
| > navigateur,
| > | tout fonctionne parfaitement en ce qui concerne l'entrée dans le site.
| > |
| > | Mais j'ai un pb avec la sortie ! En effet, pour quitter la session, je
| > | demande aux visiteurs de cliquer sur un lien "Quitter" prenant la
forme
| > | suivante :
| > | <a href="http://logout:logout@[mon
| > domaine]/logout/logout.php">Quitter</a>
| > |
| > | Or, avec IE6 et tous autre navigateur, çà marche. Mais avec IE7, le
lien
| > | n'est pas actif. Comme si IE7 ne reconnaissait pas ceci comme un lien
| > | valide. Pourtant, tout mon site est validé xhtml strict par le W3C via
| > Tidy.
| > |
| > | Je précise également que j'ai fais des essais à partir d'autres PC que
| > le
| > | mien dont un depuis un Cyber café : Même soucis !
| > |
| > | Quelqu'un aurait-il déjà rencontré ce problème ? S'agit-il d'un bug
| > d'IE7
| > ?
| > | Est-il connu ? Une solution est-elle envisageable ?
| > |
| > | Bref, merci pour tous renseignements que vous pourrez m'apporter
| > |
| > | Cordialement,
| > |
| > | Eric
| > |
| > |
|
| Bonsoir et merci pour ta réponse.
|
| J'ai effectivement de bonnes raisons de mettre ce système en place. La
plus
| importante étant que les visiteurs de mon site ne se contentent pas de ne
| visiter que celui-là. Normalement, on quitte un site web pour en visiter
un
| autre.
| Dans ce cas, la session Apache reste ouverte tant que le navigateur n'est
| pas complètement fermé (et cloture les cookies de session). Ceci génère
une
| faille (minime, certe) de la sécurité de mon site perso. Elle s'applique
| d'ailleurs à n'importe quel navigateur. Même si l'on utilise les onglets
| sous Firefox et, maintenant, sous IE7.
|
| J'ai fais plusieurs tests sur ce point. Si l'on quitte un site soumis à
| authentification Apache soit en chargeant une nouvelle URL dans la même
| fenêtre / onglet, soit en fermant la fenêtre / onglet sans quitter le
| navigateur, il n'est plus nécessaire de s'authentifier pour accéder à
| nouveau au site web.
| Je fais peut-être un peu dans la parano mais mes visiteurs sont
généralement
| à des années lumière en matière de sécurisation de leur connexion
internet.
| Un keylogger ou autre cheval de troie peu trsè facilement donner un accès
à
| toutes sortes de sites. Et pas seulement au mien, qui ne présente que peut
| d'intérêt.
|
| Bref, sur le même principe de l'inscription sur des forum, lorsqu'on les
| quitte, il est bon de se déconnecter avant. Non ?
|
| Amicalement,
|
| Eric
|
|
Fred
Le #473940
Dans : news:462a641f$0$9709$,
Eric - Lucifer écrivait :

J'ai créé la valeur DWORD pour iexplore.exe à 0 et çà fonctionne ! En
tous cas sur mon PC. Maintenant, il faut que je trouve un moyen de
passer ceci à mes visiteurs...

Merci à nouveau à Fred pour ton aide !


De rien, c'était surtout pour info, car je ne suis pas sûr qu'il y ait
une solution au problème. Sauf effectivement à faire la manip sur tous
les clients IE7 ce qui ne semble pas poser trop de souci dans ton cas.

Pour en revenir sur la justification de l'utilisation de ce mécanisme,
je ne suis pas sûr de tous les points que tu abordes.

Il semblerait que tu utilises les cookies http. Dans ce cas, il est
normal qu'en revenant sur un même site le cookie soit toujours valable.
Cela ne veut pas dire (je crois) qu'il sera transmis dans des en-têtes
vers d'autres urls que celle à laquelle il est affecté. Et quand bien
même, je suppose qu'il est crypté et que seul le serveur qui l'a émis
est en mesure de le décrypter.

Tu peux paramétrer la date d'expiration du cookie pour qu'il soit valide
moins longtemps (avec glissement possible je suppose sur Apache).

La fermeture du navigateur ne clôt pas de session. Simplement le cookie
est perdu donc le serveur n'est plus en mesure de reconnaître le client
connecté.

N'y a-t-il pas d'autre moyen, en php, d'invalider ce cookie ? En faisant
un RAZ des cookies contenus dans les en-têtes HTTP par exemple ?

J'espère que mes suppositions ne sont pas trop fausses car je ne connais
pas Apache.


--
Fred
http://www.cerber mail.com/?3kA6ftaCvT (enlever l'espace)

Eric - Lucifer
Le #473939
"Fred"
Dans : news:462a641f$0$9709$,
Eric - Lucifer écrivait :

J'ai créé la valeur DWORD pour iexplore.exe à 0 et çà fonctionne ! En
tous cas sur mon PC. Maintenant, il faut que je trouve un moyen de
passer ceci à mes visiteurs...

Merci à nouveau à Fred pour ton aide !


De rien, c'était surtout pour info, car je ne suis pas sûr qu'il y ait une
solution au problème. Sauf effectivement à faire la manip sur tous les
clients IE7 ce qui ne semble pas poser trop de souci dans ton cas.

Pour en revenir sur la justification de l'utilisation de ce mécanisme, je
ne suis pas sûr de tous les points que tu abordes.

Il semblerait que tu utilises les cookies http. Dans ce cas, il est normal
qu'en revenant sur un même site le cookie soit toujours valable. Cela ne
veut pas dire (je crois) qu'il sera transmis dans des en-têtes vers
d'autres urls que celle à laquelle il est affecté. Et quand bien même, je
suppose qu'il est crypté et que seul le serveur qui l'a émis est en mesure
de le décrypter.

Tu peux paramétrer la date d'expiration du cookie pour qu'il soit valide
moins longtemps (avec glissement possible je suppose sur Apache).

La fermeture du navigateur ne clôt pas de session. Simplement le cookie
est perdu donc le serveur n'est plus en mesure de reconnaître le client
connecté.

N'y a-t-il pas d'autre moyen, en php, d'invalider ce cookie ? En faisant
un RAZ des cookies contenus dans les en-têtes HTTP par exemple ?

J'espère que mes suppositions ne sont pas trop fausses car je ne connais
pas Apache.


--
Fred
http://www.cerber mail.com/?3kA6ftaCvT (enlever l'espace)


Cela sort un peu du contexte de ce groupe bien que lié de loin au
comportement par défaut
d'IE7 et antécédants.

Dans un premier temps, je pense avoir "lissé" le pb de mon site en incitant
les visiteurs utilisant IE7 de télécharger et d'installer un fichier .reg
reprenant la modif dans la clé FEATURE_HTTP_USERNAME_PASSWORD_DISABLE.

C'est le mieux que j'ai pu trouver pour l'instant. Sinon, il est vrai que je
pourrai faire expirer le cookie de session plus vite. Mais cela risque de
pénaliser mes visiteurs qui y passent beaucoup de temps. Le cookie est
généré une seule fois à l'authentification et testé à chaque chargement de
page. S'il expire trop vite, les visiteurs se retrouveront "à la porte" et
devront se reconnecter.

J'ai cherché un autre moyen d'invalider les cookies de session. Mais lorsque
l'on est hébergé chez un mutualisé, on n'a pas accès à toutes les fonctions
offertes par Apache. Ce qui limite grandement la marge de manoeuvre. En
questionnant les autres webmestres de mon hébergeur, aucun ne semble
connaitre d'autre solution. D'ailleurs, ma solution en a enthousiasmé plus
d'un !

Donc pour l"heure, soit on désactive le comportement "normal" d'IE pour ce
cas par le biais de la clé dans la base de registre. Soit on utilise un
autre navigateur...

Voila qui ferme le sujet, il me semble. De plus, il se fait tard !

Bonne nuit !


Publicité
Poster une réponse
Anonyme