Discussion :

[Mobius]

Bonjour,

Je voudrais comprendre comment il est possible de fermer une session en fermant le navigateur (tout en conservant les cookies)

Je m'explique. Avec firefox, il est possible, lorsque l'on ferme le navigateur, de sauver la session en cours afin qu'elle soit restauré lors de la réouverture du navigateur.
Cela à pour conséquence de rester connecté sur tous les sites où une session à été ouverte.

Cependant, j'ai constaté que le mécanisme que je viens de décrire n'est pas vrai pour mon compte gmail. Lorsque je ferme mon navigateur en conservant la session (sauvegarde des cookies) et que je le réouvre, je me trouve déconnecté de mon compte.

Avez vous une idée de comment celà est possible ?

Merci d'avance.

[Mobius]

Je suis bien au courant de cette différence.
Cependant, concernant les cookies de sessions, rien n'interdit de les recréer lors de la réouverture du navigateur. Et c'est ce qui est fait automatiquement par Firefox lorsque tu lui dit de "sauver et quitter" lors de la fermeture du navigateur.

Dans ces deux cas (recréation manuelle ou automatique des cookie de session), une application "standard" ne se rend pas compte que le navigateur à été fermé et continue dans la même session (l'authentification est gardé si on à été authentifié lors d'un précédant passage).
Dans le cas de gmail (et je suppose que celà est vrai pour l'ensemble des applications google), le site redemande de s'identifier de nouveau même si l'on a pris soin de recréer les cookies de session (d'où mon interrogation).

Le but étant d'arriver à comprendre (pour éventuellement reproduire) comment seul google arrive à redemander une authentification après avoir fermer le navigateur avec l'option "sauver et quitter" alors que tous les autres sites à ma connaissance ne redemande pas d'authentification.

[Mobius]

Je crois qu'on ne s'est pas tout a fait compris sur le fonctionnement de Gmail.

Si je comprend ce que tu me dis, GMail allongerai la durée de vie des cookies pour avoir accès à la session plus longtemps. En fait, c'est plutot le contraire, GMail clos la session avec la fermeture du navigateur (et même si l'on recherche a recréer les cookies).
Rien a voir avec la durée de vie des cookies puisque si on ferme l'onglet dans firefox (sans fermer le navigateur), on retrouve la session, alors que si on redémarre le navigateur en quelques secondes à peine, la session est close.

Le plus simple est d'essayer et de constater. Il est impossible de conserver une session GMail à partir du moment où l'on à fermé le navigateur.

[12monkeys]

Bonsoir

Il est impossible de conserver une session GMail à partir du moment où l'on à fermé le navigateur.

Qu'entends tu par session Gmail ? Le fait que tu doive te reconnecter à chaque fois que tu lance le navigateur ?

Dans ce cas, si c'est possible, je m'y connecte tous les jours sans devoir remettre mes infos personnelles...

Dans le cas contraire je ne vois pas ce que tu entends par session Gmail...

[Mobius]

Qu'entends tu par session Gmail ? Le fait que tu doive te reconnecter à chaque fois que tu lance le navigateur ?

C'est tout a fait ca.

Dans ce cas, si c'est possible, je m'y connecte tous les jours sans devoir remettre mes infos personnelles...

Peut être as tu coché la case "Stay signed in" (ou en francais "Rester connecté") ?

Mon but n'étant pas de rester connecter mais de comprendre comment google s'y prend pour forcer la déconnexion, je n'est bien entendu pas coché cette case. Dans mon cas, je suis obligé de me reconnecter à chaque fois.

[Mobius]

mes visiteurs devront se reloguer a chaque fois, puisque je n'aurais aucun cookies

Ce n'est pas tout a fait juste car tu auras au moins un cookie de session permettant de retrouver ta session http coté serveur.
Si je recréer manuellement ce cookie de session (qui est habituellement généré automatiquement par le serveur) après avoir redémarré le navigateur, je retrouverai la session en question (à moins d'avoir "délogué" explicitement l'utilisateur auparavant).

[Mobius]

Si c'est si simple j'aimerai bien voir comment tu fais pour déloguer à la fermeture du navigateur.
Je ne vois d'ailleur pas comment tu peux "deviner" que l'utilisateur ferme le navigateur.

[Mobius]

Sur 99.9% des serveurs les sessions sont vidées coté serveur, au bout de 15'.
d' inactivitée (voir explication plus haut.)
donc je vais sur ton site, j'y reste , je reviens 17' aprés je suis délogué !

Tiens j'ais mieux que ça a te proposer, va sur un autre ordi ... viens sans te loguer sur cette page tu te verras avec le bouton vert ... logué.

ferme le navigateur te ton micro principal.
retournes sur l'autre et fait F5, tu verras toujours vert , mais au bout d'un petit moment ça va basculé en "non connecté" !!

C'est bien gentil tout ca mais ca correspond pas du tout à ce que je demande.

[nosferapti]

Si c'est si simple j'aimerai bien voir comment tu fais pour déloguer à la fermeture du navigateur.
Je ne vois d'ailleur pas comment tu peux "deviner" que l'utilisateur ferme le navigateur.

Dans le cas dont tu parles avec Gmail, je pense que c'est fait avec JavaScript avec l'évènement "onunload" qui s'occupe de fermer la session

[Mobius]

Dans le cas dont tu parles avec Gmail, je pense que c'est fait avec JavaScript avec l'évènement "onunload" qui s'occupe de fermer la session

J'y ai également pensé mais celà devrait aussi déconnecter lors de la fermeture d'un onglet (ou le chargement d'une autre page à la place) . Bien sur, ce n'est pas le cas.
La déconnexion marche aussi lorsque le navigateur est tué. Donc normalement pas le temps de traiter l'évènement "unload".

[nosferapti]

J'y ai également pensé mais celà devrait aussi déconnecter lors de la fermeture d'un onglet (ou le chargement d'une autre page à la place) . Bien sur, ce n'est pas le cas.
La déconnexion marche aussi lorsque le navigateur est tué. Donc normalement pas le temps de traiter l'évènement "unload".

dans ce cas je confirme que c'est suspect
une première idée à chaud serait que Gmail envoie une requête en JavaScript toutes les secondes en disant "je suis là, je suis là, je suis là, ...". mais dans ce cas ça pourrait peut-être faire ramer la page.
pour tester cette hypothèse tu pourrais par exemple surveiller le réseau pour voir s'il y a des requêtes envoyées régulièrement

[Mobius]

dans ce cas je confirme que c'est suspect

On est bien d'accord sur ce point

une première idée à chaud serait que Gmail envoie une requête en JavaScript toutes les secondes en disant "je suis là, je suis là, je suis là, ...".

J'y ai également pensé et j'ai effectué le test suivant :
- en fermant l'onglet 1 minute et en le réouvrant => je conserve la session
- en redémarrant rapidement le navigateur => je perd la session.

pour tester cette hypothèse tu pourrais par exemple surveiller le réseau pour voir s'il y a des requêtes envoyées régulièrement

Il y a bien des requêtes mais je n'ai pas l'impression que c'est liée à la session, mais plutot pour mettre à jour le contenu de la boite.

Plus j'y réfléchis plus je me dis que je dois mal m'y prendre pour faire mes tests... Si quelqu'un pouvais me confirmer mes observations, ca permetterai au moins de savoir si je suis fou ou pas.

EDIT: Je me demande si ce n'est pas lié a ufait que la connexion à GMail est faite en https et que les cookies ne sont pas conservé correctement à cause de cela...

Re-EDIT: Je dois être sur la bonne piste car si j'ai une autre page google (en http) et que je redémarre le navigateur, je retombe bien sur mon ancienne session. C'est cependant étrange d'avoir ce comportement avec une page en https uniquement.

[nosferapti]

Il y a bien des requêtes mais je n'ai pas l'impression que c'est liée à la session, mais plutot pour mettre à jour le contenu de la boite.

tu ne peux pas savoir ce qu'il se passe coté serveur. il y a de fortes chances qu'avant d'envoyer eu client la liste des nouveaux e-mails, cette requête de chaque minute met à jour la session, rajoute une coche dans leurs statistiques d'utilisation interne, enregistre les données envoyées par la requête de façon chiffrée (par exemple à quels endroits tu places le plus souvent la souris dans l'interface Gmail).

toutes ces opérations sont techniquement faisable sans problème et étant donné l'énorme puissance des serveurs Google, tout ça se passe en quelques micro-secondes donc ça ne fait pas ramer ta page