IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Session pour user/password sans cookies est-ce possible ?


Sujet :

Langage PHP

  1. #1
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Décembre 2009
    Messages
    169
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2009
    Messages : 169
    Points : 34
    Points
    34
    Par défaut Session pour user/password sans cookies est-ce possible ?
    Bonjour.

    Je n'y connais rien en "session".

    J'aimerai avoir un site (une petit application) sans cookies mais avec une gestion utilisateur.
    C'est minimaliste.

    Peut-on stocker pass(haché)/username(ou user_id) sans cookies ?

    J'aimerai éviter de demander le pass à chaque page qui le nécessite.
    En toute sécurité (relativement)
    Et sans cookies.

    Donc pas en url
    Pas ajax car quand si je rafraichie la page le problème est le même.

    Est-possible ?

    Bonne journée

  2. #2
    Membre éclairé Avatar de Geoffrey74
    Homme Profil pro
    Développeur Web
    Inscrit en
    Mars 2007
    Messages
    515
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2007
    Messages : 515
    Points : 760
    Points
    760
    Par défaut
    Pour les sessions, tu as soit les cookies, soit le passage par URL.

    Après , tu dois pouvoir utiliser une sorte de session en BDD basé sur l'environnement de l'utilisateur, IP et navigateur (voir d'autres paramètres) par exemple.

    En gros, sur chaque page, tu vérifie si l'IP et le navigateur sont pressent dans ta table session.
    Si non, tu rentre génère une id unique associé à l'IP et au navigateur en php.
    Si oui, tu recupère l'ID enregistré dans la table session.

    Tu peux ainsi suivre l'user sans cookie. Par contre ce n'est pas fiable du tout...

  3. #3
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Décembre 2009
    Messages
    169
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2009
    Messages : 169
    Points : 34
    Points
    34
    Par défaut
    Par navigateur tu veux dire le nom du navigateur ou est-ce que l'on peut cibler précisément quelque chose car en cas de personne sous vpn ca risque posé problème de suivre une ip partagée entre des milliers d'utilisateurs.

  4. #4
    Membre éclairé Avatar de Geoffrey74
    Homme Profil pro
    Développeur Web
    Inscrit en
    Mars 2007
    Messages
    515
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2007
    Messages : 515
    Points : 760
    Points
    760
    Par défaut
    Regarde aussi de ce côté là : http://php.net/manual/fr/features.http-auth.php

  5. #5
    Membre émérite

    Profil pro
    Inscrit en
    Mai 2008
    Messages
    1 576
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2008
    Messages : 1 576
    Points : 2 440
    Points
    2 440
    Par défaut
    Citation Envoyé par westernz Voir le message
    Bonjour.

    Je n'y connais rien en "session".

    J'aimerai avoir un site (une petit application) sans cookies mais avec une gestion utilisateur.
    C'est minimaliste.

    Peut-on stocker pass(haché)/username(ou user_id) sans cookies ?

    J'aimerai éviter de demander le pass à chaque page qui le nécessite.
    En toute sécurité (relativement)
    Et sans cookies.

    Donc pas en url
    Pas ajax car quand si je rafraichie la page le problème est le même.

    Est-possible ?

    Bonne journée
    Quand tu dis sans cookie, est-ce que tu exclus aussi le cookie par défaut utilisé par les sessions? Il y a bien local storage et autres systèmes accessibles par js, mais ça ne sera pas "minimaliste".

  6. #6
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Décembre 2009
    Messages
    169
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2009
    Messages : 169
    Points : 34
    Points
    34
    Par défaut
    Je lirai le lien ce soir.

    Je veux que ceux qui bannissent les sites avec cookies soient satisfait.
    Même si c'est qu'un petit % de la communauté que je cible.
    Et j'ai franchement très peu de changement de page nécessitant de conserver le pass.

  7. #7
    Membre éclairé Avatar de Geoffrey74
    Homme Profil pro
    Développeur Web
    Inscrit en
    Mars 2007
    Messages
    515
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2007
    Messages : 515
    Points : 760
    Points
    760
    Par défaut
    Franchement, le pourcentage de personne refusant les cookies doit être extrêmement faible, surtout maintenant avec la navigation privé qui nettoie tout à la fin de la navigation.
    En plus de te compliquer la vie, tu va perdre en fiabilité et en sécurité, avec des risques de "vol de session" à la clé, je doute que ça en vaille la peine.

  8. #8
    Nouveau membre du Club
    Profil pro
    Inscrit en
    Décembre 2009
    Messages
    169
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2009
    Messages : 169
    Points : 34
    Points
    34
    Par défaut
    La solution serait ajax je pense.
    Ca permet de rester sur la page tout en prenant en compte les modification sans recharger l'url.
    A mon souvenir en tout cas...

    Je n'ai qu'une page qui nécessite un pass, le reste du site est passif (pas d'action, que de la lecture).

  9. #9
    Expert éminent sénior

    Homme Profil pro
    Développeur Web
    Inscrit en
    Septembre 2010
    Messages
    5 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2010
    Messages : 5 380
    Points : 10 410
    Points
    10 410
    Par défaut
    Salut,

    Je rejoins l'avis de Geoffrey74, ceux qui veulent se protéger utilisent la plupart du temps les sessions de navigation privées disponibles dans leur navigateur et qui nettoient tout quand on quitte le site. Donc pas de souci pour les cookie de session.
    D'ailleurs les logiciels anti pub/pistage laissent également tous passer les cookie de session, car c'est la sécurité de l'authentification qui est en question sinon un identifiant de session passé dans l'url serait très vulnérable. Mais cela n'empêche pas ces logiciels de bloquer les cookie espion.

    Pour résumer laisses plutôt les visiteurs utiliser les niveaux de confidentialité qu'ils veulent avec les outils qu'ils veulent. Aucun système (ni aucun visiteur qui sait ce qu'il fait) ne bloquera les cookies de session ce qui te permet de faire une authentification classique et sécurisée et qui le sera encore plus si tu utilises https (empêchant ainsi la possibilité de pirater l'identifiant de session).

Discussions similaires

  1. Réponses: 4
    Dernier message: 24/12/2015, 11h26
  2. somme colonne avec exception sans macro est ce possible?
    Par dkmix dans le forum Macros et VBA Excel
    Réponses: 3
    Dernier message: 14/12/2007, 13h01
  3. Linux sans Internet, est-ce possible ?
    Par JavaAcro dans le forum Linux
    Réponses: 28
    Dernier message: 27/09/2007, 22h40
  4. Réponses: 2
    Dernier message: 29/06/2006, 10h26
  5. Utilisation de composant sans Form est elle possible
    Par Hypollite76 dans le forum Composants VCL
    Réponses: 26
    Dernier message: 01/12/2005, 13h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo