Discussion :

[step1664]

bonjour,

Je développe une application avec GWT/TOMCAT/MySQL. Je voudrais savoir si l'utilisation de session améliore la sécurité ou si c'est uniquement un mécanisme pour garder le contexte utilisateur ?

Merci

[valkeke]

Perso,

c'est uniquement un mécanisme pour garder le contexte utilisateur

Mais avec GWT, il n'y a pas vraiment de session côté serveur. Tout est côté client. GWT propose RPC afin de communiquer seulement avec le serveur. L'état de votre application GWT est stocké dans le client, le navigateur client si je ne me trompe pas en exemple le panier de vos achats serait stocké côté client. Cela vous permet d'être stateless côté serveur.

Les autres frameworks Wicket, Struts, JSF, SpringMVC, PLay... ont une session côté serveur pour garder l'état de l'application; exemple le panier de vos achats. Ici pour être stateless, il vous faudrait stocker momentanément le panier en base de données par exemple.
Quand on utilise la session côte serveur, cela devient statefull, non ???

j'espère que mes explications sont exactes ???

[step1664]

bonjour,

Merci pour la réponse, je suis d'accord avec vous.

Cependant dans le cas ou on ne gère pas de session, une fois que l'utilisateur est connecté il n'y a plus aucun contrôle de son identité. Cela signifie donc qu'il est possible de dialoguer avec l'application directement sans aucun contrôle. C'est à ce niveau là que je me demandais si l'utilisation d'un numéro de session et sa vérification sur chaque action de l'utilisateur n'était pas un gage de sécurité.

qu'en pensez vous ?

Merci

[fxrobin]

Salut,

je pense que ce lien devrait t'aider :
http://zawoad.blogspot.fr/2009/12/se...-get-data.html

[tchize_]

La session te permet de stocker des données du coté serveur, la sécurité de ces données dépend uniquement des précautions que tu prend avant de les mettre en session. Parce que si tu met en session n'importe quoi que l'utilisateur t'as fournis, ça ne rend pas la donnée plus légitime mais maintenant elle en donne l'impression

Le conteneur, dans sa gestion des sessions, par contre, met en général en place des mécanismes afin d'éviter le session hi jacking et donc garantir que la session ne peux pas être "volée"

[valkeke]

je ne suis un pro de la sécurité ....mais je ne vois pas ce qu'il peut se passer, ou le problème

Cela signifie donc qu'il est possible de dialoguer avec l'application directement sans aucun contrôle

A partir de moment qu'on a piraté ton login et ton mot de passe, tu es mort.
Par contre, s'il n'a pas piraté ton login et mot de passe, comment il fait le pirate pour venir faire des appel ou des requêtes sur ta base de données par exemple avec des services RPC dans ton application GWT.
je ne vois pas trop les failles de sécurité qu'il peut exister?