[Cookies] Informations sur phpsessid

G.Hammond · 24/12/2007, 11h05

Bonjour j'aimerai savoir ce qu'est exactement le PHPSESSID et ce qu'il contient ? Comment sont crypté les données (MD5, autres, ...)

Merci beaucoup !

PS : A oui il arrive que je me connecte à un site et que celui-ci m'envoie 2 PHPSESSID (pseudo et mot de passe ?)

Merci et bonne fêtes !

RideKick · 24/12/2007, 11h14

Le PHPSESSID est l'identifiant de session , la correspondance est stockée sur le serveur !

On peut savoir pour quelles raisons tout ceci t'intéresse ?

Ce n'est pas pour faire du vol de sessions j'espère ?

G.Hammond · 24/12/2007, 11h16

Lol non non je suis en BTS IRIS et je prépare un petit exposé sur les sessions php et sur google, c'est dur de trouver un site qui en parle vraiment. Aucuns risque de piratage

julp · 24/12/2007, 11h27

Citation:

Envoyé par G.Hammond

j'aimerai savoir ce qu'est exactement le PHPSESSID et ce qu'il contient ?

Il faut (re)lire les tutoriaux : PHPSESSID n'est que l'identifiant de la session attribué par le serveur pour que celui-ci puisse remettre la main sur les données qui sont stockées de son côté. D'autre part la constante PHPSESSID implique une transmission de l'identifiant par la méthode use_trans_sid (réécriture des liens internes) qui est fortement déconseillée au profit des cookies.

Citation:

Envoyé par G.Hammond

Comment sont crypté les données (MD5, autres, ...)

Les données ne sont pas chiffrées, tout du moins pour l'extension de base (suhosin, par exemple, propose, me semble-t-il, un chiffrement élémentaire). L'identifiant, savant mélange de votre adresse client et de la date du serveur, par contre est quant à lui haché par l'algorithme MD5 (ou au choix SHA1 pour PHP5 - sachant que ce choix sera élargi avec PHP 6).

Citation:

Envoyé par G.Hammond

PS : A oui il arrive que je me connecte à un site et que celui-ci m'envoie 2 PHPSESSID (pseudo et mot de passe ?)

G.Hammond · 24/12/2007, 11h44

Merci pour ces réponses.

Je m'explique pour ma dernière phrase.

Je supprime tout mes cookie. Je vais sur un site ou je rentre login et mot de passe. J'ai préalablement demander à mon navigateur de demander pour chaque autorisation de cookie, mon accord.

Et bien j'en reçois un qui s'appel PHPSESSID avec dans le champs donnée des truc cryptés. Je l'autorise. Et desuite après, un autre qui s'appel aussi PHPSESSID mais les données sont différente. J'autorise aussi et enfin je suis sur ma session.

Késako ?

julp · 24/12/2007, 14h53

A un identifiant (la valeur de PHPSESSID de votre cookie) correspond une session (dans son intégralité). Or une session peut contenir plusieurs informations et n'est pas limitée à 4 ko de données comme les cookies. Seul l'identifiant est chiffré (le terme haché serait plus convenable puisque l'opération n'est pas réversible) de base.

Un point m'échappe dans vos propos : les cookies sont ainsi prévus que les noms sont uniques. Ainsi un deuxième cookie de même nom, ira écraser la valeur du précédent mais ils ne seront considérés comme identiques que s'ils partagent tous deux outre le nom les mêmes définitions (chemin, domaine, limitation au protocole https ou non). Donc si vous en avez deux sur le site en question (peu importe leurs valeurs), c'est qu'ils sont différents du point de vue de leur "validité" et cela doit apparaître (à voir avec votre navigateur s'il le permet).

Vous devriez étudier les deux sujets : la documentation officielle détaillle de manière approfondie ces deux notions qui sont intimement liées (cookies et sessions).

24/12/2007, 11h05	#1
G.Hammond Invité de passage Inscription : décembre 2007 Messages : 23 Détails du profil Informations forums : Inscription : décembre 2007 Messages : 23 Points : 3 Points : 3	[Cookies] Informations sur phpsessid Bonjour j'aimerai savoir ce qu'est exactement le PHPSESSID et ce qu'il contient ? Comment sont crypté les données (MD5, autres, ...) Merci beaucoup ! PS : A oui il arrive que je me connecte à un site et que celui-ci m'envoie 2 PHPSESSID (pseudo et mot de passe ?) Merci et bonne fêtes !
	00

24/12/2007, 11h14	#2
RideKick Rédacteur Directeur technique Inscription : septembre 2006 Messages : 5 959 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Directeur technique Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : septembre 2006 Messages : 5 959 Points : 10 889 Points : 10 889	Le PHPSESSID est l'identifiant de session , la correspondance est stockée sur le serveur ! On peut savoir pour quelles raisons tout ceci t'intéresse ? Ce n'est pas pour faire du vol de sessions j'espère ? __________________ Pas de questions techniques en MP please Mon site perso
	00

24/12/2007, 11h16	#3
G.Hammond Invité de passage Inscription : décembre 2007 Messages : 23 Détails du profil Informations forums : Inscription : décembre 2007 Messages : 23 Points : 3 Points : 3	Lol non non je suis en BTS IRIS et je prépare un petit exposé sur les sessions php et sur google, c'est dur de trouver un site qui en parle vraiment. Aucuns risque de piratage
	00

24/12/2007, 11h44	#5
G.Hammond Invité de passage Inscription : décembre 2007 Messages : 23 Détails du profil Informations forums : Inscription : décembre 2007 Messages : 23 Points : 3 Points : 3	Merci pour ces réponses. Je m'explique pour ma dernière phrase. Je supprime tout mes cookie. Je vais sur un site ou je rentre login et mot de passe. J'ai préalablement demander à mon navigateur de demander pour chaque autorisation de cookie, mon accord. Et bien j'en reçois un qui s'appel PHPSESSID avec dans le champs donnée des truc cryptés. Je l'autorise. Et desuite après, un autre qui s'appel aussi PHPSESSID mais les données sont différente. J'autorise aussi et enfin je suis sur ma session. Késako ?
	00

24/12/2007, 14h53	#6
julp En attente de confirmation mail Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	A un identifiant (la valeur de PHPSESSID de votre cookie) correspond une session (dans son intégralité). Or une session peut contenir plusieurs informations et n'est pas limitée à 4 ko de données comme les cookies. Seul l'identifiant est chiffré (le terme haché serait plus convenable puisque l'opération n'est pas réversible) de base. Un point m'échappe dans vos propos : les cookies sont ainsi prévus que les noms sont uniques. Ainsi un deuxième cookie de même nom, ira écraser la valeur du précédent mais ils ne seront considérés comme identiques que s'ils partagent tous deux outre le nom les mêmes définitions (chemin, domaine, limitation au protocole https ou non). Donc si vous en avez deux sur le site en question (peu importe leurs valeurs), c'est qu'ils sont différents du point de vue de leur "validité" et cela doit apparaître (à voir avec votre navigateur s'il le permet). Vous devriez étudier les deux sujets : la documentation officielle détaillle de manière approfondie ces deux notions qui sont intimement liées (cookies et sessions).
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email