Discussion :

[boteha]

Bonjour,

Mozilla Observatory est un outil sympa.

Quand je le lance pour monsite.com :

Session cookie set without using the HttpOnly flag

Le site est sur un Mutualisé OVH, alors j'utilise ini_set avant session_start () :

ini_set ('session.cookie_httponly', TRUE);

Je vérifie avec ini_get, 'session.cookie_httponly' retourne TRUE.

Mais Mozilla Observatory continue à signaler la même erreur : Session cookie set without using the HttpOnly flag

J'essaye alors avec session_set_cookie_params (array ('secure' => TRUE, 'httponly' => TRUE, 'samesite' => 'Strict')); avant session_start ()

Mais Mozilla Observatory continue à signaler la même erreur.

Je ne comprends pas.

Des changements fait par le htaccess sont bien vus par Mozilla Observatory.

Mais là je suis obligé de modifier des scripts et cela semble invisible (ou mal fait).

Des idées ?

Merci d'avance.

[ABCIWEB]

Salut,

Ton site utilise https ?

[boteha]

Bonjour,

OUI, https obligatoire via le htaccess.

[boteha]

Bonjour,

Connaissez-vous Mozilla Observatory ?

Un peu bizarre, je veux lui faire tester un cookie, j'envoie ce code :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
session_set_cookie_params (array ('path' => '/', 'secure' => TRUE, 'httponly' => TRUE, 'samesite' => 'Strict'));
 
session_start();
 
echo 'lifetime ' . INI_Get('session.cookie_lifetime') . '<br>';
echo 'path ' . INI_Get('session.cookie_path') . '<br>';
echo 'domain ' . INI_Get('session.cookie_domain') . '<br>';
echo 'secure ' . INI_Get('session.cookie_secure') . '<br>';
echo 'httponly ' . INI_Get('session.cookie_httponly') . '<br>';
echo 'samesite ' . INI_Get('session.cookie_samesite') . '<br>';
 
print_r ($_COOKIE);
 
print '<br>';
 
print session_name();
 
print '<br>';
 
print session_id();

Et Mozilla Observatory me répond qu'il ne détecte aucun cookie.

Avez-vous une idée ?

[ABCIWEB]

Bonjour,

Fais :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

session_set_cookie_params (array ('path' => '/', 'secure' => false, 'httponly' => TRUE, 'samesite' => 'Strict'));

Et tu n'auras plus le message dans la console de Firefox qui indique que le cookie sera bientôt rejeté.

Pourquoi faut-il mettre "secure" à false, je ne peux pas l'affirmer mais il est probable que cela vient du fait que c'est un mutualisé et que les certificats sont également mutualisés. Possible que si tu payes l'option pour avoir un certificat individuel tu puisses mettre l'option "secure" à true.

Après tu peux aussi mettre une règle de réécriture pour interdire l'accès à ton site via http ce qui fait que dans tous les cas le cookie sera envoyé en https et donc le fait d'avoir configuré "secure" à false n'a pas vraiment d'incidence.

[boteha]

Bonjour,


Merci de ta réponse mais mettre Secure à FALSE ne pose-t-il pas un problème de sécurité ?

L'objectif est de sécuriser la cookie de SESSION qui dans les réglages du Mutu ne l'est pas.

Je vais essayer ton option ce soir.

Je te tiens informé.