[PHP 5.3] Erreur de récupération de session entre HTTP et HTTPS

[kamisamades]

Bonjour à tous

Nous avions une boutique OsCommerce hébergée sur un serveur Dédié chez OVH avec un certificat SSL pour la procédure de paiement. Nous avons migré ce serveur sur une plus grosse machine chez OVH. Nous avons transféré toutes les sources, remis les droits sur les bons fichiers, etc.

Mais depuis la réinstallation du certificat SSL, nous avons des erreurs lorsque l'on passe en HTTPS.

Le certificat est valide, les identifiants de session sont les mêmes, mais pas le contenu. En effet, je me loggue en HTTPS et je navigue dans la boutique en HTTP. Une fois identifié, je reviens à la page d'accueil (qui est en HTTP) et du coup, j'ai perdu ma session, je n'ai plus accès à mon panier enregistré et je ne suis plus connecté à mon compte.

Avez vous une idée du problème ? Est-ce une erreur de configuration, une erreur de vérification de session ?

Pour info, j'ai posé la question sur le forum d'OsCommerce (http://www.oscommerce-fr.info/forum/...howtopic=68121) sans réponses.

Merci de vos réponses

[Benjamin Delespierre]

Je n'ai pas encore rencontré ce problème mais est ce que ça pourrait venir d'une configuration de virtual hosts qui séparerait les sessions au niveau d'Apache ?

[alain31tl]

Bonjour

Celà vient vraisemblablement du fait que l'id de session n'est pas transmis au passage de http à https.
J'avais déjà lu ici et là quelques infos à ce sujet, et la méthode pour y remédier.
Pas moyen de remettre la main dessus.
A mon avis, cherchez vers cette voie

[Benjamin Delespierre]

Je vais peut être dire une erreur mais pourrait-on corriger le problème en faisant transiter l'identifiant de session par URL plutôt que par cookie ?

[stealth35]

y'a quoi dans ton session_get_cookie_params

[alain31tl]

Citation:

Envoyé par Benjamin Delespierre

Je vais peut être dire une erreur mais pourrait-on corriger le problème en faisant transiter l'identifiant de session par URL plutôt que par cookie ?

Bonsoir

Je ne pense pas car on ne serait plus dans le cadre d'une session php client/serveur...et classiquement sur un même domaine.
Mais dans celui d'un simple passage de variable dans l'url, et dans ce cas, cette opération ne réléve plus des session php.
=>> Ce qui est important, c'est que l'id de session collecte toutes les autres variables qui lui sont associées au moment de l'initialisation de la session.
Ainsi, le fait de migrer de http à https, et dans le cas présent, constitue un changement de domaine...pour une dîte session.
On ne peut pas transmettre une session depuis un domaine vers un autre domaine.

Le probléme est précisemment à ce niveau.
http et http(s)
Les sessions ne passent pas et pourtant on ne sort pas du domaine www.

C'est pour cette raison que j'orientais kamisamades vers cette piste.
La question :
Comment conserver mes variables de session ou l'id de session depuis http vers https. ( ?)

Ce qui me frustre, c'est que j'ai déjà croisé ce sujet, et incapable de remettre la main dessus.
Mais la solution existe, c'est une certitude.

[sabotage]

J'ai trouvé une info disant que cela pouvait venir de Suhosin :
http://www.yireo.com/blog/798-switch...es-php-session

Assure toi quand meme bien d'etre sur le meme domaine dans les deux cas
Par exemple https://www.monsite.com vers http://monsite.com ca ne fonctionne pas.

[alain31tl]

En effet sabotage.

Et une autre, moins pertinente que celle que j'avais croisée.

A toute fin utile :

http://stackoverflow.com/questions/4...o-https-in-php

[Roberto125]

Bonjour,

de quel type de certificat s'agit-il ? De quelle autorité de certification ?

S'agit-il d'un certificat auto-généré ?

Dans le cas où il s'agit d'un certificat d'une autorité de certification, veuillez demander sa ré-émission auprès de cette dernière ?