Bonjour,
Je me doute que de nombreuses questions abordant ce thème ont été posées sur le forum. Mais je n'ai pas trouvé de réponses complètes, du coup, je repose la question.
Je souhaite faire un site dont le fonctionnement sera similaire à celui de gmail :
- Récupération d'une page
- Envoi de requêtes sans rafraichissement de la page (AJAX).
Je me pose beaucoup de questions sur la sécurité d'une telle application online. Ayant analysé les cookies et requêtes Gmail je suis assez perplexe sur la meilleure manière de faire pour sécuriser les échanges de données.
Mes questions sont les suivantes :
- Il semble possible de faire de l'https AJAX. Quel est l'inconvénient d'une telle manière de faire ?
- l'utilisation de sessions ($_SESSION, et oui le serveur sera en php...) est-il suffisamment sûr ?
- Certaines personnes désactivent les cookies. Comment garder une authentification sur le serveur malgré cela ?
- Quel est selon vous la meilleure manière d'avoir des échanges sécurisés entre le client web et le serveur. Je précise que je ne cherche pas à crypter tous les échanges. Je veux juste m'assurer que celui qui sollicite le serveur est bien celui qui possède le compte (le vol de session aurait des conséquences graves) ?
Merci pour votre aide (et votre patience avec les débutants)
K.
Partager