Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Développement Développement Langage PHP Creer ses propres sessions

Creer ses propres sessions

8 réponses
Avatar
Edouard GUERIN
Bonjour,

Je me pose beaucoup de questions sur les sessions et moyens d'authentifier
quelqu'un sur Internet...
Qui n'a jamais vu de site avec une zone d'identification ?
Bon, pour garder la connexion entre le serveur web et le client, si je ne me
trompe pas, il faut utiliser une session (id dans l'url ou id déposé dans
un cookie).
Mais est-ce vraiment fiable ? Est-ce aussi efficace pour tous les
utilisateurs ?
Imaginons que Monsieur X désactive les cookies sur son navigateur, on peut
donc rayer la solution de cookie. La solution restante est l'id de session
passé dans l'url :
ex : http://www.url.com?sid=0123456789

Mais là encore ce n'est toujours pas excellent d'avoir une url à rallonge
qui d'autant plus est limitée.
En plus, imaginons que l'on veuille réferencer son site sur un moteur de
recherche. Le robot qui va s'amuser à visiter le site va donc suremment se
manger l'id et va considérer le site comme une arnaque car il aura beaucoup
trop de pages à réferencées (lors de sa prochaine visite l'id sera
différent).

Ma question est donc... peut-on générer un id de session à partir des
données reccueillies du poste client ? Autrement dit, à partir des données
comme le nom de l'OS du client, son navigateur, adresse IP, sa résolution
d'écran...
Les variables prédefinies en PHP sont-elles fiables ($_SERVER...) ?

Une concaténation des infos et après un petit md5($delachaine) et voilà l'id
de session qui au moins est quasiment sûre d'être notre bon client.

Est-ce que cette méthode serait fiable niveau sécurité ?
Il n'existe donc pas d'autre moyen d'identifier de manière fiable un client
?
Je parle par exemple d'un réseau... une entreprise à une connexion Internet
et beaucoup de postes, ce qui fait donc une même adresse IP (WAN) pour
beaucoup de postes. Il y aurait un problème d'identification encore une
fois.
Peut-on à ce momment là recevoir l'adresse MAC, ça serait plus fiable déjà ?

Merci d'avoir pris le temps de me lire et pour vos réponses.
Corrigez moi si je dis des bêtises :-p

--
Edouard GUERIN
http://www.icitrus.net
Signaler un problème avec ce contenu

8 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Avatar
Guillaume Bouchard
Edouard GUERIN wrote:

Mais est-ce vraiment fiable ? Est-ce aussi efficace pour tous les
utilisateurs ?


Fiable, Sauf en cas de brute force, oui.
Apres si tu veux quelque chose de fiable, utilise le https :)

Imaginons que Monsieur X désactive les cookies sur son navigateur, on peut
donc rayer la solution de cookie.


Non, ont peux rayer monsieur X.
Si il sais comment désactivé les cookie, c'est qu'il l'a fait en
conaissance de cause. Et saura les réactivés.

Mais là encore ce n'est toujours pas excellent d'avoir une url à rallonge
qui d'autant plus est limitée.


Et pose des problemes de sécurités tres long.

Ma question est donc... peut-on générer un id de session à partir des
données reccueillies du poste client ?


Non, données pas sur.

Les variables prédefinies en PHP sont-elles fiables ($_SERVER...) ?


Fiables, oui, sécurisés, non.

Bref, pour moi la seule solution pour geré des session est via cookie.

--
Guillaume.

Avatar
Edouard GUERIN
Arf !
J'aime pas les cookies lol
Rien que le principe c'est malsain dès le départ je trouve.
On dépose quelque chose chez vous et pas toujours avec votre accord.
Moi j'aime pas ça (parano moi ? non !).
Combien d'utilisateurs lambda ne savent même pas ce qu'est un cookie ?
Pendant toute leur vie d'internaute on pourra enregistrer des infos dans des
petits fichiers textes.
Certes c'est pratique, mais il y-a ce petit désagrément qui ne me plait pas.

L'idée de l'https est bonne, je vais me renseigner là dessus, je connais mal
le sujet.
Mais je persiste, je compte bien trouver une alternative en utilisant des
infos client :-)

Merci !

--
Edouard GUERIN
http://www.icitrus.net
Avatar
Gg
On 30 Aug 2003 14:56:37 GMT, Edouard GUERIN wrote:

J'aime pas les cookies lol
Rien que le principe c'est malsain dès le départ je trouve.
On dépose quelque chose chez vous et pas toujours avec votre accord.
Moi j'aime pas ça (parano moi ? non !).


Et alors? Tant que c'est chez toi, je ne vois pas le problème...

Combien d'utilisateurs lambda ne savent même pas ce qu'est un cookie ?


Et combien n'en ont rien à foutre et ne sont pas parano? :-)
Je ne vois pas quel problème tu pourrais avoir à utiliser les cookies.

Pendant toute leur vie d'internaute on pourra enregistrer des infos dans des
petits fichiers textes.


Malheur... enfin, un fichier ca peut se supprimer :-)

Certes c'est pratique, mais il y-a ce petit désagrément qui ne me plait pas.


Quel désagrément?


--
GéraLd : http://gerald.fauvelle.free.fr
| Photos : http://www.gg.free.fr
| myStats : Système de statistiques
| Version 1.0.8 - http://my.stats.free.fr

Avatar
Marc
Edouard GUERIN wrote:
Arf !
J'aime pas les cookies lol
Rien que le principe c'est malsain dès le départ je trouve.
On dépose quelque chose chez vous et pas toujours avec votre accord.
Moi j'aime pas ça (parano moi ? non !).
Combien d'utilisateurs lambda ne savent même pas ce qu'est un cookie ?
Pendant toute leur vie d'internaute on pourra enregistrer des infos dans des
petits fichiers textes.
Certes c'est pratique, mais il y-a ce petit désagrément qui ne me plait pas.


et quand tu vas chez un commercant, ca doit bien t'arriver de prendre la carte
de fidelité, le principe est exactement le meme : identifier facilement le client
meme s'il paie avec du liquide. Les cookies ne sont ni plus ni moins des cartes
de fidélité. Libre a toi de les accepter. De toute maniere dans le cas général,
ca n'engage a rien.

Avatar
Guillaume Bouchard
Edouard GUERIN wrote:

Rien que le principe c'est malsain dès le départ je trouve.
On dépose quelque chose chez vous et pas toujours avec votre accord.
Moi j'aime pas ça (parano moi ? non !).


Oué, enfin les cookies tu peux les refusé, que l'on te piste a coup d'id
passé en get, tu ne peux pas... Moi je prefere les cookies.

Combien d'utilisateurs lambda ne savent même pas ce qu'est un cookie ?


0, meme avant de connaitre l'informatique, je mangeais des cookies.

Pendant toute leur vie d'internaute on pourra enregistrer des infos dans des
petits fichiers textes.


Pendant toute ma vie d'internaute, je n'ai jamais supporter que l'on me
trace a coup de get degeulasse.

--
Guillaume.

Avatar
Edouard GUERIN
Ouais bon je crois que vous avez raison...
Si ça existe après tout, c'est fait pour ça.

Merci ;-)

--
Edouard GUERIN
http://www.icitrus.net
Avatar
Nonobis
Le Sat, 30 Aug 2003 09:16:43 +0000, Edouard GUERIN a écrit :

Imaginons que Monsieur X désactive les cookies sur son navigateur, on peut
donc rayer la solution de cookie. La solution restante est l'id de session
passé dans l'url :
ex : http://www.url.com?sid23456789


Bonjour,

J'ai été ammené à mettre en place un système de sessions "maison" sur un
serveur équipé de php3 uniquement.

La solution employée prend en compte 3 points :

- Une chaine de caractères passée de page en page qui est constituée via
un tirage aléatoire de 15 caractères dans une chaine de type "a-z+0-9".
- L'IP du visiteur.
- Une limite temporelle d'utilisation de cet ID session.

Je n'ai dans le cas présent pas besoin de conserver d'infos entre deux
visites.

Lors de l'accès à la première page, je relève l'IP du visiteur et lui
attribue un ID session constitué de 15 caractères tirés aléatoirement dans
une chaine constituée des lettres de l'alphabet augmentée des chiffres de
0 à 9.

Je stocke ces infos dans une table mysql (ou a défaut dans un ficher
texte) avec un 3ème paramètre qui est l' unix time stamp correspondant a
la création de l'ID.

Je propulse de page en page l'ID grace a un champ de type "hidden" et un
petit javascript (onclick(document.formulaire.submit).

A chaque nouvelle page, je teste la présence de l'id dans la table,
la correspondance avec l'ip et également si je n'ai pas dépassé le temps
d'utilisation fixé. puis j'envoie une requete d'éffacement pour toutes les
entrées présentes dans la table et dont l'id a expiré.

A+

Nonobis.

Avatar
Guillaume Bouchard
Nonobis wrote:

Je stocke ces infos dans une table mysql (ou a défaut dans un ficher
texte) avec un 3ème paramètre qui est l' unix time stamp correspondant a
la création de l'ID.


Colone unique sur l'id de session, mais pas sur l'ip ?

Je propulse de page en page l'ID grace a un champ de type "hidden" et un
petit javascript (onclick(document.formulaire.submit).


Attend, tu vas me dire que tes 'liens' de pages en pages sont en fait
des formulaire avec un JS ? Beurk...

--
Guillaume.