Discussion :

[whitespirit]

Bonjour,

Je me penche sur un point que je n'ai pas encore abordé en php, la sécurisation du site. Ce qui m'interpelle est simple, sur certain site j'ai l'identifiant de la session dans l'url.

Ce que j'aimerai savoir, c'est à quoi ça sert, quel avantage, est-ce une bonne solution (j'en doute pas que oui, mais est-ce que c'est la meilleure solution) ?

Merci d'avance

[Gaara-Manga]

Tout ce qui passe par l'URL est d'une façon ou d'une autre une ouverture à une possible faille.

Je trouve sa plutôt inutile de mettre un identifiant dans l'url. Autant le mettre en md5 dans une session c'est tout aussi efficace et au moins sa ne sera visible que pour ceux qui ont un minimum de connaissance et décryptable par personne (enfin il msemble pas qu'a aujourd'hui'hui on puisse décrypter le md5^^)

[Tsilefy]

Bonjour,

Ça peut poser des problèmes et en plus c'est embêtant.
Si tu envoies par exemple l'utilisateur vers un site externe, l'id de session sera transmis avec l'url, donc le site externe recevra l'id. On peut ensuite utiliser cet id récupéré pour éventuellement usurper l'identité de l'utilisateur de ton site. Bien sur, si tu ne stockes pas des infos confidentielles en session et que l'id n'octroye pas des permissions spéciales à l'utilisateur, ce n'est pas très grave en soi.
Ton site sera indéxé dans les moteurs de recherche avec un sessid, ça peut peut-être pénaliser son positionnement;
Quand l'utilisateur met ton site en favori, il retient l'id de session. Du coup, s'il revient, il peut se retrouver avec des infos non à jour, correspondant à l'ancienne id.
etc ...
Bref, l'unique intérêt est d'offrir une alternative lorsque l'utilisateur refuse absolument les cookies.

[whitespirit]

D'accord, n'ayant pas encore tout compris au niveau sécurité des sessions, j'ai cru que c'était une solution intéressante. Heureusement que vous êtes là.

Merci