IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

les données des logs Web peuvent identifier l’activité des machines individuelles

  1. #21
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par pmithrandir Voir le message
    l'identifiant de session est toujours baladé en clair
    Faux. Tu peux interdire le transi du cookie pour toute connexion non sécurisée.

  2. #22
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 418
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 418
    Points : 7 295
    Points
    7 295
    Par défaut
    Citation Envoyé par tontonnux Voir le message
    Faux. Tu peux interdire le transi du cookie pour toute connexion non sécurisée.
    Ca amène une autre question.
    En HTTPS, est ce que l'adresse url et ses paramètres sont encodés, ou uniquement le contenu ?

    Y a t'il une différence de sécurité(un gain j'entends) entre une session stockée dans un cookies ou dans le session_id en HTTPS. (on compare bien des choses comparable...)

  3. #23
    Expert éminent sénior

    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    10 603
    Détails du profil
    Informations personnelles :
    Âge : 66
    Localisation : France

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 603
    Points : 17 913
    Points
    17 913
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par _skip Voir le message
    Toutefois, tu dis que les développeurs de site sont flemmards, et qu'on s'y prenait autrement dans les années 92-95 (ma découverte du net ne date que de 98).
    Je serai curieux d'en savoir plus sur les autres solutions, ce n'est pas ironique. Enfin bien sûr sans remettre en cause le protocole http.
    Je me suis connecté pour la première fois en mai 93. J'étais dans un centre de recherches (équivalent INRIA) au Canada. Il y avait 2800 "sites" dans le monde, dont 12 en France et 80 en Allemagne. En 1994 il y en avait 220 000. En 1995 il y en avait 7 millions. En 1996 24 millions..

    Tout ceci avec Mosaic ou Netscape ou IE1 (qui était la copie (payante) de Mosaic (gratuit) dans lequel le graphisme X était remplacé par la Win API, puisque Windows était fermé et les specs non publiques.)

    Cette explosiion des sites s'est faite purement avec les navigateurs et les caches pour les fichiers (les navigateurs ont normalement à l'intérieur tout ce qu'il faut : les adresses de connection, le décodage des requêtes, et le traitement interne des "jump" HTML).

    Un "Get" ou un "Post" ne nécessite rien d'autre que le contenu de la page ou du champ/URL locale et les adresses..


    Citation Envoyé par tontonnux Voir le message
    En fait, comparer http et le téléphone, c'est comme si :
    1 - je t'appelle
    2 - je dis bonjour, tu dis bonjour
    3 - on raccroche
    4 - je t'appelle
    5 - je te demande comment ça va, mais tu ne sais plus qui je suis. C'est à ça que sert le cookie. C'est un aide mémoire pour serveur.
    Primo, tu viens de le dire pour le serveur.. Pourquoi alors cela doit-il être stocké chez le client ??

    Ensuite, justement quand on téléphone, si tu téléphones de chez toi aux USA, tu ne sais pas si tu passes par le câble sous-marin ou le satellite, par combien de centraux tu passes, ni comment les conneions se font à l'intérieur des centraux.. Et pourtant tu parles entre les 2 points sans qu'aucune donnée ne soit échangée/stockée chez aucun des 2 interlocuteurs...


    Citation Envoyé par tontonnux Voir le message
    Pour info, je ne stocke jamais autre chose que l'identifiant de session dans mes cookies. Autrement dit, la seule chose que stock, c'est une chaine du type "f4e8cce52f2e3b865ca0a306f84ac10d".
    Peut-être toi, mais je parle du principe : je me sens en sécurité sans ceinture de sécurité, et pourtant elle est obligatoire...


    Citation Envoyé par pmithrandir Voir le message
    La méthode la plus simple consiste à balader dans ton url l'identifiant de session. De cette façon, tu ne stockes rien sur le PC de ton client mais tout dans ta session sur le serveur. Quand il revient, tu retrouves les données enregistrées depuis la session précédente et tu les remets dans la nouvelle.

    C'est le même niveau de sécurité que les cookies, l'identifiant de session est toujours baladé en clair(que ca soit dans l’entête ou dans l'url fait peut de différence)


    Voir plus haut de l'aveu même de tontonnux


    PS: c'est quand même assez dingue de se prendre plus de 10 votes négatifs simplement pour oser critiquer la politique des cookies
    "Un homme sage ne croit que la moitié de ce qu’il lit. Plus sage encore, il sait laquelle".

    Consultant indépendant.
    Architecture systèmes complexes. Programmation grosses applications critiques. Ergonomie.
    C, Fortran, XWindow/Motif, Java

    Je ne réponds pas aux MP techniques

  4. #24
    Membre émérite

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Avril 2006
    Messages
    666
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 84
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Service public

    Informations forums :
    Inscription : Avril 2006
    Messages : 666
    Points : 2 817
    Points
    2 817
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par souviron34 Voir le message
    En ce qui concerne HTTP : ce me semble, on demande bien une communication vers une adresse IP, non ? cette connexion est parfaitement identifiée entre l'émetteur et le récepteur... Que la route soit inconnue n'a pas d'importance.. puisque c'est bien le principe sous-jacent..
    La connexion HTTP en cours, certes. Mais naviguer sur un site Web, c'est faire de très nombreuses connexions HTTP distinctes, une pour chaque clic, en gros. Il n'y a pas de connexion TCP persistante entre la machine du client et le serveur. Autrement dit, tu accèdes à la page d'accueil, tout est chargé via une connexion HTTP qui est ensuite fermée une fois la page chargée. Maintenant, tu cliques sur un lien de cette page. Une connexion HTTP est recréée pour la demande et les nouveaux chargements, et le serveur n'a pas de moyen automatique de se rendre compte que cette requête suit la première demande ou même provient du même ordinateur.

    L'adresse IP pour essayer de voir si ça vient de la même machine n'est pas une indication fiable, pour deux raisons : une même adresse IP peut être en effet partagée entre de nombreuses machines derrière une passerelle faisant le pont entre un réseau privé et Internet, et il y a également le phénomène des IP dynamiques, ce qui fait que l'IP peut parfois changer régulièrement, sans pour autant qu'on ait changé d'utilisateur. Chez Orange par exemple, avec les vieilles Livebox, le changement d'IP est forcé toutes les 22 heures, et à chaque perte de synchronisation, nouveau changement d'IP également.

    'fin bref.. Toujours les mêmes arguments "on peut pas s'en passer"... Mais bien sûr que si qu'on peut s'en passer.. C'est juste plus facile pour les développeurs de sites de les avoir..
    Jamais dit qu'on ne pouvait pas s'en passer, mais c'est une meilleure méthode que celle de l'identifiant de session renvoyé dans l'url.

    Je ré-itère juste que le Web des années 93-99 n'en avait pas, et pourtant il marchait.. Bizarre autant qu'étrange, non ??
    Je ne pense pas qu'on peut comparer le Web statique des années 93 avec les sites dynamiques avec connexions d'aujourd'hui. De plus, les cookies ont été intégrés dans Netscape dès 1994.

    Cela serait la même chose que de dire que le monde au moyen âge n'avait pas d'électricité et qu'on vivait quand même, donc on peut tout à fait s'en passer.

    Citation Envoyé par pmithrandir Voir le message
    La méthode la plus simple consiste à balader dans ton url l'identifiant de session. De cette façon, tu ne stockes rien sur le PC de ton client mais tout dans ta session sur le serveur. Quand il revient, tu retrouves les données enregistrées depuis la session précédente et tu les remets dans la nouvelle.

    C'est le même niveau de sécurité que les cookies, l'identifiant de session est toujours baladé en clair(que ca soit dans l’entête ou dans l'url fait peut de différence)
    Je regrette, c'est une méthode moins sûre. Je ne vais donner qu'un seul exemple, mais bien parlant. Tu trouves un lien qui t'intéresse, tu veux le passer à un copain, tu copies-colle ton url pour le donner à ton copain. Oh... tu avais ton identifiant de session dans l'url ? Dommage, sans le savoir tu lui as donné accès à ta session.

  5. #25
    Expert éminent sénior

    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    10 603
    Détails du profil
    Informations personnelles :
    Âge : 66
    Localisation : France

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 603
    Points : 17 913
    Points
    17 913
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    ..
    Nous sommes d'accord qu'il y a une différence entre Web statique et dynamique.

    Cependant, d'une part une URL est une URL : si tu as un lien vers une page Web et que tu veux l'envoyer , pourquoi devrait-il y avoir un id de session, puisque c'est une URL ?? Et si il y a des "sélections" ou "champs" remplis par ta requête,il suffit d'indiquer au copain ce qu'il doit faire, non ??

    Enfin, peut-être qu'il faudrait plus remttre en cause le principe de connection à chaque clic...
    "Un homme sage ne croit que la moitié de ce qu’il lit. Plus sage encore, il sait laquelle".

    Consultant indépendant.
    Architecture systèmes complexes. Programmation grosses applications critiques. Ergonomie.
    C, Fortran, XWindow/Motif, Java

    Je ne réponds pas aux MP techniques

  6. #26
    Membre émérite
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2008
    Messages
    1 190
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2008
    Messages : 1 190
    Points : 2 657
    Points
    2 657
    Par défaut
    Citation Envoyé par nextdev Voir le message
    Et donc facebook peu par exemple savoir "toutes" votre navigation, étant donné que son marqueur se trouve sur bcp trop de sites web...
    (à la condition que vous ayez le cookie facebook, et que vous ayez un compte fb bien sure...)
    Raté, Facebook sauvegardera votre adresse Ip, votre localisation et tout un tas de chose que vous ayez un compte ou non.
    Après grâce a l'IP (ou autre chose) il peut vous retrouver, vous lier a des comptes (si quelqu'un s'est connecté à son compte sur votre machine) et plein d'autre chose.
    Au final même si t'a pas de compte Facebook te connaît et sait pleiiiin de chose sur toi.

    Pour plus de détail je conseille d'aller voir les affaires de plainte contre Facebook, notamment celle de Max Schrems. C'est celui qui si je ne trompe pas, à décortiqué les données sur lui qu'avait Facebook. Et le résultat est édifiant.

  7. #27
    Membre actif
    Profil pro
    Inscrit en
    Février 2009
    Messages
    149
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2009
    Messages : 149
    Points : 206
    Points
    206
    Par défaut
    tu as tout a fait raison, sauf que dans mon cas, facebook ne saura pas lier les infos à un nom vu qu'il n y a pas de compte fb sur mes machines...

  8. #28
    Inactif  
    Homme Profil pro
    Chef de projet NTIC
    Inscrit en
    Janvier 2007
    Messages
    6 604
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : France

    Informations professionnelles :
    Activité : Chef de projet NTIC

    Informations forums :
    Inscription : Janvier 2007
    Messages : 6 604
    Points : 13 314
    Points
    13 314
    Par défaut
    Citation Envoyé par deathness Voir le message
    Raté, Facebook sauvegardera votre adresse Ip, votre localisation et tout un tas de chose que vous ayez un compte ou non.
    Après grâce a l'IP (ou autre chose) il peut vous retrouver, vous lier a des comptes (si quelqu'un s'est connecté à son compte sur votre machine)
    Non, tout au plus il pourra lier l'adresse IP à celle d'un autre compte. C'est à dire concrétement l'adresse de ton point d'accès, pas celle de ta machine.

    Je ne réponds pas aux questions techniques par MP ! Le forum est là pour ça...


    Une réponse vous a aidé ? utiliser le bouton

    "L’ennui dans ce monde, c’est que les idiots sont sûrs d’eux et les gens sensés pleins de doutes". B. Russel

  9. #29
    Membre émérite

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Avril 2006
    Messages
    666
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 84
    Localisation : France

    Informations professionnelles :
    Activité : Administrateur de base de données
    Secteur : Service public

    Informations forums :
    Inscription : Avril 2006
    Messages : 666
    Points : 2 817
    Points
    2 817
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par souviron34 Voir le message
    Primo, tu viens de le dire pour le serveur.. Pourquoi alors cela doit-il être stocké chez le client ??
    Visiblement tu n'as donc rien compris au problème pour poser cette question.

    Je vais donc reprendre avec une image. Tu es le client, tu es masqué, on ne peut pas t'identifier. Le serveur c'est quelqu'un chez qui tu vas. Tu vas chez lui une première fois, tu lui montres ta carte de visite, c'est-à-dire ton cookie. Il sait que c'est toi, tu la reprends. La prochaine fois que tu viens, avec un déguisement différent, le serveur ne te reconnaît pas. Tu montres ta carte de visite, ton cookie, que tu avais donc gardé, le serveur te reconnaît.

    A l'inverse, tu suggères que l'information, le cookie donc doit être conservé côté serveur, reprenons donc l'image. Tu vas chez le serveur la première fois, masqué. Tu lui donnes ta carte de visite, que le serveur va donc conserver. Tu y retournes une deuxième fois, sous un déguisement différent. Mais tu n'as pas ta carte de visite, c'est le serveur qui l'a. Et pourquoi le serveur, celui qui t'ouvre penserait que la carte de visite qu'on lui a donné serait forcément celle du client qui vient de frapper à la porte ? Rien du tout.

    Voilà pourquoi le cookie doit être conservé côté client.

    Maintenant il n'y a pas de notion de carte de visite unique d'un utilisateur à fournir à chaque site, et encore heureux (cela serait désastreux côté vie privée). Du coup, c'est pour ça que pour chaque nouveau site que tu vas visiter, ils te font donc une carte de visite à toi, mais valable que chez eux, qu'ils te donnent quand tu te connectes, que tu conserves dans ta poche et que tu montreras à chaque nouvelle visite sur le même site.

    Citation Envoyé par souviron34 Voir le message
    Ensuite, justement quand on téléphone, si tu téléphones de chez toi aux USA, tu ne sais pas si tu passes par le câble sous-marin ou le satellite, par combien de centraux tu passes, ni comment les conneions se font à l'intérieur des centraux.. Et pourtant tu parles entre les 2 points sans qu'aucune donnée ne soit échangée/stockée chez aucun des 2 interlocuteurs...
    Encore une fois je me répète. Une communication téléphonique se maintient d'elle-même, la configuration réseau est connectée durant tout le transfert, il n'y a pas d'ambiguité. Rien à voir avec la navigation sur le Web où il n'y a pas de configuration réseau connectée en HTTP.

    Citation Envoyé par souviron34 Voir le message
    PS: c'est quand même assez dingue de se prendre plus de 10 votes négatifs simplement pour oser critiquer la politique des cookies
    Ce n'est pas de la critique à ce niveau-là, c'est d'abord une méconnaissance du fonctionnement, de pourquoi le système a été créé. Le fait ensuite que malgré les explications, tu persistes à effectuer des analogies qui n'ont rien à voir. Et enfin, une peur phobique des cookies parce que ce sont des cookies. Je veux bien que la vie privée soit un élément important de nos jours, mais depuis toujours chaque connexion à un site Web provoque l'enregistrement de l'IP, au minimum, dans les logs serveurs, et ça bien avant l'invention des cookies.

    Citation Envoyé par souviron34 Voir le message
    Cependant, d'une part une URL est une URL : si tu as un lien vers une page Web et que tu veux l'envoyer , pourquoi devrait-il y avoir un id de session, puisque c'est une URL ?? Et si il y a des "sélections" ou "champs" remplis par ta requête,il suffit d'indiquer au copain ce qu'il doit faire, non ??

    Enfin, peut-être qu'il faudrait plus remttre en cause le principe de connection à chaque clic...
    Je ne vois vraiment pas le rapport des sélections et les champs du formulaire avec la choucroute.

    Certes il n'est pas nécessaire pour chaque site de disposer d'une session, et donc de cookies. Personne n'a jamais prétendu que chaque site devait forcément établir des sessions et donc déposer des cookies.

    Mais dans le cas où on veut pouvoir établir une connexion, comme ici sur le forum, où tu t'identifies pour pouvoir ensuite avoir la possibilité de poster sous ton pseudo, éditer tes messages, consulter tes messages privés, il faut un moyen de conserver la persistance de la connexion afin que tu n'aies pas à t'identifier sur chaque page pour une action privilégiée.

    Donc un identifiant de session devra commencer à être envoyé, que ça soit par cookie ou par url.

    Maintenant, supposons que je suis intraitable sur les cookies, j'en veux pas. Je veux donner un lien vers cette discussion à mon ami. Si je ne me suis pas connecté sur le forum, il n'y a en effet aucun problème. Mais si je me suis connecté avant parce que je me suis dit : je vais poster, je vais voir mes messages privés, je veux voir les messages non lus depuis ma dernière visite, ben du coup, j'ai un identifiant de session dans l'url, vu que je refuse d'avoir des cookies. Identifiant que recevra ton destinataire si tu n'as pas pensé à le retirer manuellement, et donc celui-ci disposera de ta propre session et pourra voir tes messages privés et poster en ton nom.

  10. #30
    Expert éminent
    Avatar de pmithrandir
    Homme Profil pro
    Responsable d'équipe développement
    Inscrit en
    Mai 2004
    Messages
    2 418
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Haute Garonne (Midi Pyrénées)

    Informations professionnelles :
    Activité : Responsable d'équipe développement
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2004
    Messages : 2 418
    Points : 7 295
    Points
    7 295
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    Je regrette, c'est une méthode moins sûre. Je ne vais donner qu'un seul exemple, mais bien parlant. Tu trouves un lien qui t'intéresse, tu veux le passer à un copain, tu copies-colle ton url pour le donner à ton copain. Oh... tu avais ton identifiant de session dans l'url ? Dommage, sans le savoir tu lui as donné accès à ta session.
    Cette méthode est moins sure parce que :
    - l'utilisateur n'a pas la formation pour comprendre son erreur
    - le logiciel lui permet de copier ce texte. (on peut imaginer que cette partie de l'URL ne soit pas recopiée par defaut dans le copier coller d'un utilisateur si on généralise cette utilisation).

    La ou je rejoins souviron, c'est que l'on peut faire sans, mais que par flemme, nombre de dev ne prennent même pas la peine de le prévoir(moi le premier si je n'utilise pas un framework qui le fait automatiquement).

    Pour gagner un confort(des url propre) on a préféré stocker dans le pc du clients des données, sans trop réfléchir a toutes les conséquences. pire, on a pas vraiment évolué pour cloisonner plus le système. Pire encore, on a laisser flash introduire des cookies encore plus intrusif.

    On aurait également pu imaginer de ne stocker que le session id et de forcer les gens a utiliser les session uniquement.(ce qui limite il est vrai un peu le net)

    Alors, oui, c'est pratique, oui, je comprends qu'on puisse les utiliser(je ne les désactive jamais), mais nous devrions toujours prendre en compte la possibilité de ne pas les utiliser. En particulier lorsque l'on s’aperçoit que les informations fournies permettent de nous identifier trop surement.

    Petite question sur les cookies ? Peut- on tester leur existence sur le client ?
    Je suis facebook, puis-je savoir si google a un cookies lui aussi ?(je ne parle pas de son contenu, mais de son existence)

  11. #31
    Membre expérimenté
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juillet 2009
    Messages
    420
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 420
    Points : 1 471
    Points
    1 471
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    Maintenant, supposons que je suis intraitable sur les cookies, j'en veux pas. Je veux donner un lien vers cette discussion à mon ami. Si je ne me suis pas connecté sur le forum, il n'y a en effet aucun problème. Mais si je me suis connecté avant parce que je me suis dit : je vais poster, je vais voir mes messages privés, je veux voir les messages non lus depuis ma dernière visite, ben du coup, j'ai un identifiant de session dans l'url, vu que je refuse d'avoir des cookies. Identifiant que recevra ton destinataire si tu n'as pas pensé à le retirer manuellement, et donc celui-ci disposera de ta propre session et pourra voir tes messages privés et poster en ton nom.
    Le fait de passer ces informations par l'URL... ça serait tellement mieux pour Facebook !
    Pour le moment il n'ont pas accès aux infos des cookies des autres sites que Facebook. Mais en mettant tout dans l'URL, ils récupèrent le tout via le REFERER des iframes contenant leur bouton.

    Faisons plaisir à Facebook et mettons tout dans les URLs !

  12. #32
    Membre émérite
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2008
    Messages
    832
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Décembre 2008
    Messages : 832
    Points : 2 625
    Points
    2 625
    Par défaut
    Oui, ils ont redécouvert l'eau froide, ainsi que le fait qu'une roue carrée ne roule pas, on peut les féliciter.
    Cependant, comme pour les vaccins, les piqûre de rappel sont toujours utiles, notamment quand le danger est réel. Plus on connaît une personne, plus il est simple de se faire passer pour elle, ou de la contraindre (peu importe la façon: le matraquage publicitaire ciblé est une forme de contrainte, si la personne ne va pas volontairement chercher la pub. C'est d'ailleurs illégal, ce me semble - bien que cette illégalité ne soit pas applicable - d'envoyer de la pub a des gens qui ne l'ont pas demandée, le débat se situant autour du "qu'est-ce qu'une demande") a acheter/prendre/donner quelque chose.

    Pour ce qui est du HS/ (pas-si-)troll(-que-ça) concernant les cookies:

    Le pays des bisounours est bien joli, si les cookies n'y servent effectivement qu'a identifier les gens qui le demandent.
    Malheureusement, je vis sur Terre moi, et chaque site, mais alors, CHAQUE site, colle plusieurs cookies sur ma bécane. DVP en colle 12, par exemple. Sans compter, naturellement, ceux des sites intégrés, notamment les publicités.

    Alors, oui, on peut les bloquer dans le navigateur. Certains navigateurs permettent d'avoir une gestion avec différents degrés de finesse, par exemple supprimer tous les cookies en fermant le nav, interdire les cookies des sites que l'on ne visite pas (aka: les pubs!) et coller des exceptions pour certains sites.

    C'est d'ailleurs ce que je fais, seuls les sites sur lesquels j'ai un identifiant (et encore, pas tous) ont le droit de stocker des cookies qui perdurent au delà de la session de mon navigateur, et les sites que je ne visite pas n'ont même pas le droit de m'en mettre.
    N'empêche, faire ça, sous Firefox, c'était pénible la dernière fois que j'ai essayé. Sous IE aussi. Sous opera, ça va, c'est relativement intuitif, mais reste malgré tout un peu lourdingue de gérer les sites acceptés un par un et ce n'est pas le réglage par défaut.
    (Je parle ici des navigateurs "vanilla" c'est à dire sans plugin)
    Et en plus, ça fait que j'accepte pleins de cookies pour rien (je pourrai peut-être resserrer ma politique de refus des cookies faudra que j'y pense) qui servent à m'identifier tout au long de ma session.
    Et naturellement, si je ferme un onglet et que j'y reviens par la suite, le site s'en souviens. Faille (de ma politique).

    Alors que le seul intérêt des cookies, selon moi, c'est d'éviter de se coltiner la saisie du couple login/pass sur les sites que l'on visite tous les jours. La, ils ont une raison d'être, et ne peuvent être supplantés. C'est un peu comme quand je vais chez un commerçant: si je vais dans un magasin une fois l'an, je m'en fiche qu'il se souvienne de moi. Je n'ai sûrement aucune raison d'accepter sa carte de fidélité. En revanche, la boulangerie ou je vais chercher mon pain tous les jours, la, oui, ça m'intéresse qu'elle me colle sa carte de fidélité (cookie) dans le portefeuille. Mais c'est bien le seul cas.

    Franchement, souviron, quoiqu'extrémiste, n'a pas tort: les cookies sont utilisés à tord et à travers et en deviennent un réel problème.
    Le problème de la connexion à chaque clic n'est pas idiot non plus, après tout, quand je me connecte à un serveur - disons un ftp - il me semble que j'établis une connexion tcp, qui encapsule FTP. Je n'ai pas souvenir d'avoir besoin de remettre mon login à chaque envois/réception de fichier. Ni d'avoir un cookie qui traîne sur ma machine client.
    Dernièrement, il y a eu une news concernant l'amélioration du protocole HTTP par google. Si ils cherchent à l'améliorer, peut-être est-ce parce qu'HTTP a très bien fait son rôle pendant longtemps, mais n'est plus adapté aux problématiques actuelles?
    Les sites web deviennent de véritables logiciels, avec le web 2.0 ([boutade]vais pas dire minitel 2.0 pour éviter l'étiquette du troll... oups, trop tard [/boutade]), et si il y a besoin de maintenir une identification, souvent pour de petites requêtes en plus, pourquoi ne pas faire un protocole plus adapté?
    Je me demande de combien d'échanges TCP il y à besoin pour dire "j'ai cliqué sur un lien qui pointe sur http://perdu.com/, je souhaite avoir la page indiquée" ?
    Si j'y pense, je ferai le test ce soir chez moi, avec wireshark... C'est plutôt une bonne question, quel volume de données doit être envoyé sur le réseau pour juste un satané clic sur un bouton ou un lien, dont la conséquence doit probablement rarement dépasser les 150 caractères (donc, jusqu'a 400 octets si on utilise UTF32) je trouve, non?

    Bon, pour modérer mon post, il est évident que la situation mondiale actuelle fait qu'on a fait évoluer http pour éviter d'avoir a convertir tout, de la même façon qu'il est plus que probable que pour la plupart des applications écrites en COBOL et encore maintenues, le choix du langage est dû à l'existant.
    Je ne dis pas qu'il faut que l'on jette http, qui est un bon protocole, tant qu'il se limite à ce qu'il sait faire (télécharger des fichiers en connaissant leur type MIME, raison de la création d'http alors qu'ftp existait, selon wikipedia) mais que peut-être que l'on est plus dans un besoin de connexion persistante sur certains sites (webmails, forums, wikis, réseaux sociaux) alors que certains sites, dits "web 1.0" ne nécessitent pas ou peu d'interactions, se contente de présenter des documents, et la, cette connexion permanente est inutile. Ainsi que les cookies.

    PS: je serais curieux de trouver un site qui n'enregistre aucun cookie, histoire de voir s'ils sont vraiment limités en fonctionnalités?

  13. #33
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 191
    Points : 28 070
    Points
    28 070
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    Maintenant il n'y a pas de notion de carte de visite unique d'un utilisateur à fournir à chaque site, et encore heureux (cela serait désastreux côté vie privée). Du coup, c'est pour ça que pour chaque nouveau site que tu vas visiter, ils te font donc une carte de visite à toi, mais valable que chez eux, qu'ils te donnent quand tu te connectes, que tu conserves dans ta poche et que tu montreras à chaque nouvelle visite sur le même site.
    Si, si, ça existe. C'est pas des cookies (quoique, ça doit être géré par cookies aussi) mais c'est tous les systèmes de certification d'identité. LiveID chez Microsoft (MSN, MSDN, ... Successeur de l'ancien système Passport), OpenID sur de nombreux sites dont Facebook, etc.

    Quand tu es identifié sur un site, tu es potentiellement identifié sur tous les sites utilisant le même système. Et si tous les acteurs se défendent de croiser les données des différents sites, techniquement ils peuvent le faire.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  14. #34
    Expert éminent sénior

    Profil pro
    Inscrit en
    Janvier 2007
    Messages
    10 603
    Détails du profil
    Informations personnelles :
    Âge : 66
    Localisation : France

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 603
    Points : 17 913
    Points
    17 913
    Billets dans le blog
    2
    Par défaut
    Citation Envoyé par Chuck_Norris Voir le message
    Mais dans le cas où on veut pouvoir établir une connexion, comme ici sur le forum, où tu t'identifies pour pouvoir ensuite avoir la possibilité de poster sous ton pseudo, éditer tes messages, consulter tes messages privés, il faut un moyen de conserver la persistance de la connexion afin que tu n'aies pas à t'identifier sur chaque page pour une action privilégiée.

    Donc un identifiant de session devra commencer à être envoyé, que ça soit par cookie ou par url.
    euhh... même HTML 1.0 prévoit l'envoi de texte...

    Sans parler de HTML 2.0 qui a le mot clé FORM ...

    Je sais pas, moi je verrais un truc comme :

    il y a un flag général keep_alive/déconneion manuelle ou reconnect_each_time

    • accèder URL developpez
    • afficher page avec champ username pass
    • envoyer username pass
    • le SERVEUR sait que ce username/pass a le droit de modifier ses messages et quand il en ajoute, cela sera avec son username
    • le client envoie un texte (méthode POST avec lien HTML si édition)
    • le SERVEUR vérifie si le lien est un lien existant (modification) ou vide (création)
    • le SERVEUR vérifie si on a la droit ou non (soit avec session ouverte soit avec le nouveau couple username/pass)


    A part l'envoi initial et/ou répété suivant le choix initial, rien n'est sauvegardé localement (le navigateur a les champs remplis en interne de toutes façons)

    Franchement je ne vois pas très bien ce qu'on ne pourrait pas faire..

    @Freem : j'avoue être un peu l'avocat du diable, mais ce problème et un problème de fond dans la conception.. Qui me choque... Quand le Consortium X a conçu le protocole X11, et permis d'afficher une application à distance sur des postes différents, bien que chaque utilisateur ait sa propre interface et ses propres champs, rien n'est stocké sur place (ou en tous cas pas en dur, puisque c'est le serveur X. Et encore il ne stocke que temporairement). De même, les pages Web dynamiques ont commencé bien avant les cookies, comme lemontrent l'ensemble des sites d'avant les années 99 (grâce notamment au mot-clé FORM de HTML 2.0 disponible depuis 1995). Je trouve qu'il y a une faille conceptuelle majeure : depuis quand une application distribuée a-t-elle besoin de tocker des choses sur le poste cible ?? Mon "chocage" est réel, et contrairement à ce que pense Chuck_Norris, c'est bien en connaissance de cause que je pose le problème.. et que le fait de l'éliminer d'un revers de main m'énerve..
    "Un homme sage ne croit que la moitié de ce qu’il lit. Plus sage encore, il sait laquelle".

    Consultant indépendant.
    Architecture systèmes complexes. Programmation grosses applications critiques. Ergonomie.
    C, Fortran, XWindow/Motif, Java

    Je ne réponds pas aux MP techniques

  15. #35
    Rédacteur/Modérateur


    Homme Profil pro
    Network game programmer
    Inscrit en
    Juin 2010
    Messages
    7 113
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : Canada

    Informations professionnelles :
    Activité : Network game programmer

    Informations forums :
    Inscription : Juin 2010
    Messages : 7 113
    Points : 32 958
    Points
    32 958
    Billets dans le blog
    4
    Par défaut
    Citation Envoyé par Freem Voir le message
    Le problème de la connexion à chaque clic n'est pas idiot non plus, après tout, quand je me connecte à un serveur - disons un ftp - il me semble que j'établis une connexion tcp, qui encapsule FTP. Je n'ai pas souvenir d'avoir besoin de remettre mon login à chaque envois/réception de fichier. Ni d'avoir un cookie qui traîne sur ma machine client.
    Dernièrement, il y a eu une news concernant l'amélioration du protocole HTTP par google. Si ils cherchent à l'améliorer, peut-être est-ce parce qu'HTTP a très bien fait son rôle pendant longtemps, mais n'est plus adapté aux problématiques actuelles?
    Les sites web deviennent de véritables logiciels, avec le web 2.0 ([boutade]vais pas dire minitel 2.0 pour éviter l'étiquette du troll... oups, trop tard [/boutade]), et si il y a besoin de maintenir une identification, souvent pour de petites requêtes en plus, pourquoi ne pas faire un protocole plus adapté?
    Je me demande de combien d'échanges TCP il y à besoin pour dire "j'ai cliqué sur un lien qui pointe sur http://perdu.com/, je souhaite avoir la page indiquée" ?
    La différence entre le ftp et le http amha, c'est que le client ftp est fait pour ce genre de manip'.
    Le client http a pour seul role d'envoyer une requête et afficher un résultat !
    Et stocker des informations chez le client pour le reconnaître quand il recontactera le serveur ne me choque pas.
    Pensez à consulter la FAQ ou les cours et tutoriels de la section C++.
    Un peu de programmation réseau ?
    Aucune aide via MP ne sera dispensée. Merci d'utiliser les forums prévus à cet effet.

  16. #36
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 191
    Points : 28 070
    Points
    28 070
    Par défaut
    La différence entre ftp et http est, comme déjà dit, dans la gestion de la connexion.

    En http, la connexion est établie à chaque requette, et fermée dès la fin de la requete (quand la page est chargée). Le clic sur un lien, un changement de page, etc ouvre une nouvelle connexion vers le serveur totalement indépendante de la précédente.

    En FTP, la connexion est maintenue sur le port commande durant toute la durée ou l'utilisateur est présent sur le site. Il peut y avoir plusieurs connexion en port données, mais toujours une seule en port commande. Dès que la connexion en port commande est perdue, il faut à nouveau s'authentifier.

    Ce qui est visiblement difficilement compréhensible pour certain c'est qu'en http la "session" de la connexion au serveur est extrêmement courte et ne correspond pas à la "session" de l'utilisateur, elle ne correspond seulement au chargement d'une page voire d'une partie d'une page web.

    Le problème est donc de maintenir une session utilisateur au delà de plusieurs sessions de connexion au serveurs totalement indépendantes les unes des autres voire ne se faisant pas forcément toujours sur les mêmes serveurs.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  17. #37
    Inactif  
    Homme Profil pro
    Chef de projet NTIC
    Inscrit en
    Janvier 2007
    Messages
    6 604
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 62
    Localisation : France

    Informations professionnelles :
    Activité : Chef de projet NTIC

    Informations forums :
    Inscription : Janvier 2007
    Messages : 6 604
    Points : 13 314
    Points
    13 314
    Par défaut
    Citation Envoyé par Bousk Voir le message
    La différence entre le ftp et le http amha, c'est que le client ftp est fait pour ce genre de manip'.
    Beaucoup plus simplement, HTTP est un protocole non connecté, c'est tout.
    Le client n'a pas grand chose à voir la dedans.

    Si on veut gérer une connection en utilisant HTTP, il faut déléguer cette tâche à une couche au-dessus, c'est à dire que ce sera un concept "hors-protocole" basé sur un agrément entre le client et le serveur.

    Je ne réponds pas aux questions techniques par MP ! Le forum est là pour ça...


    Une réponse vous a aidé ? utiliser le bouton

    "L’ennui dans ce monde, c’est que les idiots sont sûrs d’eux et les gens sensés pleins de doutes". B. Russel

  18. #38
    Membre extrêmement actif

    Profil pro
    Grand Timonier des Chats
    Inscrit en
    Décembre 2011
    Messages
    879
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Grand Timonier des Chats

    Informations forums :
    Inscription : Décembre 2011
    Messages : 879
    Points : 3 302
    Points
    3 302
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Et si tous les acteurs se défendent de croiser les données des différents sites, techniquement ils peuvent le faire.
    Justement: le problème c'est non seulement qu'ils peuvent le faire, mais--dans la mesure que le cookie est crypté--qu'ils peuvent le faire à l'insu de l'utilisateur, même averti.

    Après le remplacement du cookie pose problème, pour les raisons que tu dis.

    Personnellement, ma solution serait de déplacer la création du cookie du serveur vers le client: ainsi, le browser sait qu'il ne met que le strict minimum pour s'identifier dans le cookie. L'utilisateur serait libre de choisir d'utiliser un ID unique pour plusieurs sites ou un ID par site, il pourrait également changer l'ID qu'il présente à un site sans que celui-ci soit au courant, mais avec également les mêmes conséquences que l'effacement des cookies.

  19. #39
    Modérateur
    Avatar de sevyc64
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Janvier 2007
    Messages
    10 191
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 51
    Localisation : France, Pyrénées Atlantiques (Aquitaine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Janvier 2007
    Messages : 10 191
    Points : 28 070
    Points
    28 070
    Par défaut
    Citation Envoyé par MiaowZedong Voir le message
    Personnellement, ma solution serait de déplacer la création du cookie du serveur vers le client: ainsi, le browser sait qu'il ne met que le strict minimum pour s'identifier dans le cookie. L'utilisateur serait libre de choisir d'utiliser un ID unique pour plusieurs sites ou un ID par site, il pourrait également changer l'ID qu'il présente à un site sans que celui-ci soit au courant, mais avec également les mêmes conséquences que l'effacement des cookies.
    Je crois que tu n'as pas bien compris le principe des cookies. Ce n'est pas toi, coté client, qui décide de stocker des informations t'identifiant. Informations que tu n'as d'ailleurs pas besoin de stocker puisque tu te connais déjà, tu connais ton identité.

    Les cookies servent au serveur à stocker divers paramètres lui permettant, au serveur, de pouvoir mémoriser diverses choses sur toi selon ses propres codes et son propre algorithme. Le serveur n'a que faire de l'identité que, toi, tu connais de toi même. Ton navigateur n'a que faire de stocker quelconques informations sur toi (lui en fait), puisqu'il te connais déjà et a déjà toutes les informations.

    Mais le serveur auquel tu te connecte ne connais rien de toi. Donc quand tu te connecte une première fois, il a besoin de mémoriser certaines choses pour pouvoir à nouveau t’identifier à une prochaine connexion, et non pas te prendre pour quelqu'un de nouveau.
    --- Sevyc64 ---

    Parce que le partage est notre force, la connaissance sera notre victoire

  20. #40
    Membre extrêmement actif

    Profil pro
    Grand Timonier des Chats
    Inscrit en
    Décembre 2011
    Messages
    879
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Grand Timonier des Chats

    Informations forums :
    Inscription : Décembre 2011
    Messages : 879
    Points : 3 302
    Points
    3 302
    Par défaut
    Citation Envoyé par sevyc64 Voir le message
    Je crois que tu n'as pas bien compris le principe des cookies. Ce n'est pas toi, coté client, qui décide de stocker des informations t'identifiant. Informations que tu n'as d'ailleurs pas besoin de stocker puisque tu te connais déjà, tu connais ton identité.

    Les cookies servent au serveur à stocker divers paramètres lui permettant, au serveur, de pouvoir mémoriser diverses choses sur toi selon ses propres codes et son propre algorithme. Le serveur n'a que faire de l'identité que, toi, tu connais de toi même. Ton navigateur n'a que faire de stocker quelconques informations sur toi (lui en fait), puisqu'il te connais déjà et a déjà toutes les informations.

    Mais le serveur auquel tu te connecte ne connais rien de toi. Donc quand tu te connecte une première fois, il a besoin de mémoriser certaines choses pour pouvoir à nouveau t’identifier à une prochaine connexion, et non pas te prendre pour quelqu'un de nouveau.
    En fait, c'est toi qui ne m'as pas comprit (je pense, je ne suis pas infaillible).

    Corriges-moi si je me trompes, mais aujourd'hui ce qui se passe c'est:

    1. Tu te connectes au serveur
    2. Le serveur t'envoie un fichier contenant des données t'identifiant (cookie)
    3. À chaque nouvelle connection, tu presentes ton cookie au serveur

    Ce que je propose c'est:
    1. Tu te connectes au serveur
    2. Tu generes un cookie, que le serveur vérifie comme unique
    3. À chaque nouvelle connection, tu presentes ton cookie au serveur


    Si je ne me trompe pas, le changement est minime, du moins pour les sites qui n'ont rien à cacher.

Discussions similaires

  1. Réponses: 1
    Dernier message: 13/04/2010, 00h48
  2. Réponses: 6
    Dernier message: 18/07/2007, 11h55
  3. Réponses: 5
    Dernier message: 16/07/2007, 11h14
  4. Analyse des log web
    Par cjacquel dans le forum Statistiques
    Réponses: 1
    Dernier message: 10/04/2006, 23h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo