Discussion :

[benwit]

Je n'aimerai pas que mes propos soient mal interprétés.

Je ne diabolise pas les cookies, au contraire, je trouve qu'ils ont leur utilité (comme faire transiter l'id de session) mais il ne faut pas les utiliser de travers pour faire tout et n'importe quoi et obliger l'internaute à les activer.

Je dis juste qu'un site devrait fonctionner même sans cookie. Pour retrouver la session d'un utilisateur, le cookie de session a cet intérêt. Maintenant, si le site est bien fait, même en cas de cookie désactivé, l'id de session transite soit pas l'url, soit dans une entête http.

Pour ce qui est de la durée de vie, c'est plus lié à l'application. Est-ce qu'on veut que la session expire ? est-ce qu'on veut une authentification systématique ?

[camus3]

décision contraignante , démagogique et inapplicable.
Mais les fonctionnaires européens doivent donner l'impression qu'ils bossent ;-)

et pourquoi pas interdire les sessions coté serveur pendant qu'on y est ?

Les cookies ne sont pas offensifs par nature , ils peuvent être utilisé à bon ou mauvais escient.

Il faut rendre obligatoire le détail des informations conservées en local et à distance dans les CGU , pas de forcer la manière dont les sites internets fonctionnent.

Ca veut dire quoi ? qu'on pourra porter plainte pour un cookie non désiré ?

Encore une fois , les cookies sont en local , c'est à l'utilisateur de les interdire , filtrer , ou autre , et aux navigateurs de proposer des fonctions accessibles pour répondre à se problème.

[10_GOTO_10]

Sans faille de sécurité, un site ne peut voir que ses cookies à lui et pas les autres.

Non, en fait ça dépend des options du navigateur. Sur IE, ils appellent ça les "cookies tierce parties", lesquels, avec le niveau de sécurité "normal" (niveau par défaut) sont autorisés.

Options internet > onglet confidentialité > bouton avancé

Un bon conseil : http://www.01net.com/contenu/2562/ta...sous-ie7-334-1

Moralité: après avoir dit que c'est la faute à l'utilisateur qui ne sait pas configurer son navigateur, il se peut que même certains informaticiens aguerris ne connaissent pas toutes les subtilités (je ne vise personne en particulier, vous avez peut-être Firefox).

[erroneus]

Non, en fait ça dépend des options du navigateur. Sur IE, ils appellent ça les "cookies tierce parties", lesquels, avec le niveau de sécurité "normal" (niveau par défaut) sont autorisés.

Options internet > onglet confidentialité > bouton avancé

Un bon conseil : http://www.01net.com/contenu/2562/ta...sous-ie7-334-1

Moralité: après avoir dit que c'est la faute à l'utilisateur qui ne sait pas configurer son navigateur, il se peut que même certains informaticiens aguerris ne connaissent pas toutes les subtilités (je ne vise personne en particulier, vous avez peut-être Firefox).

J'ai regardé sous Firefox (Edit/Preferences/Privacy) et il est aussi possible d'interdire les "third-part cookies" (acceptés par défaut).

Pour ceux qui ont Firefox dans la langue d eMolière, ça doit être dans l'onglet "Outils".

[Gp2mv3]

Si on doit prévenir l'utilisateur de tous les cookies ils vont pas être bien content avec les cookies de session etc...

[Paul TOTH]

Non, en fait ça dépend des options du navigateur. Sur IE, ils appellent ça les "cookies tierce parties", lesquels, avec le niveau de sécurité "normal" (niveau par défaut) sont autorisés.

Options internet > onglet confidentialité > bouton avancé

Un bon conseil : http://www.01net.com/contenu/2562/ta...sous-ie7-334-1

Moralité: après avoir dit que c'est la faute à l'utilisateur qui ne sait pas configurer son navigateur, il se peut que même certains informaticiens aguerris ne connaissent pas toutes les subtilités (je ne vise personne en particulier, vous avez peut-être Firefox).

"Les "cookies tierces" qui proviennent des publicités et des scripts insérés dans un site mais provenant d'autres sites (bannières, pop-up, fenêtres indésirables, etc.)"

donc que je suis sur developpez.com et que j'ai une bannière de pub sur http://adserver.adtech.de il faudrait considérer que les cookie de ce site sont potentiellement dangereux ?! c'est un peu n'importe quoi.

et il serait donc hasardeux de développer une application web multisite sous peine de voir une partie de celle-ci considérée comme de la pub.

[erroneus]

J'ai fait un test : depuis hier soir j'ai bloqué les cookies par défaut.

Il n'y a pas un seul site qui n'essaie pas de m'en fourger. À part ceux de session, j'ai laissé les autres bloqués sans que ça semble changer quoique ce soit.

D'où la question, et désolé d'insister, à quoi servent les cookies ? (Ce n'est pas une question rhétorique)

[Invité]

- Se souvenir de ta navigation (il suffit qu'il y ai un script google analytics / conversion ou autre pour que tu ai un cookie
- mettre des infos pratique pour ta navigation (par exemple ta dernière recherche sur sncf.com pour te préremplir les formulaire)
- Session

En plus tu va avoir les pubs google, facebook ... qui vont trafiquer dans les cookie, et de nos jours il y a très peu de site qui en sont pas connecté avec ces services la (un bouton "Like" facebook suffit)

[Ibuprofène]

J'ai fait un test : depuis hier soir j'ai bloqué les cookies par défaut.

Il n'y a pas un seul site qui n'essaie pas de m'en fourger. À part ceux de session, j'ai laissé les autres bloqués sans que ça semble changer quoique ce soit.

D'où la question, et désolé d'insister, à quoi servent les cookies ? (Ce n'est pas une question rhétorique)

J'ai fais la même chose depuis quelque temps. Dans la plus grande majorité des cas, les cookies tierces parties sont la pour la pub, parfois des outils de stats. Les cookies interne peuvent être la pour se rappeler d'une session, pour des stats également, panier...

Quand tu parlais de toto.fr et tata.fr, il est bien possible que l'un utilise les cookie de l'autre, via une iframe comme cela a déjà été dit, mais aussi via les pixels espions

[Paul TOTH]

J'ai fait un test : depuis hier soir j'ai bloqué les cookies par défaut.

Il n'y a pas un seul site qui n'essaie pas de m'en fourger. À part ceux de session, j'ai laissé les autres bloqués sans que ça semble changer quoique ce soit.

D'où la question, et désolé d'insister, à quoi servent les cookies ? (Ce n'est pas une question rhétorique)

ça sert à ce que le développeur en fait !

par exemple, ne pas afficher deux fois un message de bienvenue, une pub, ...

à faire des statistiques de visite un peu moins fausses...

sans compter tous les sites PHP qui contiennent un session_start() sans que le site n'utilise la session faudrait voir le nombre ce CMS qui font ça en mode consultation anonyme

[Paul TOTH]

J'ai fais la même chose depuis quelque temps. Dans la plus grande majorité des cas, les cookies tierces parties sont la pour la pub, parfois des outils de stats. Les cookies interne peuvent être la pour se rappeler d'une session, pour des stats également, panier...

Quand tu parlais de toto.fr et tata.fr, il est bien possible que l'un utilise les cookie de l'autre, via une iframe comme cela a déjà été dit, mais aussi via les pixels espions

ben oui, sauf que ce n'est pas toto et tata mais un site de pub qu'utilisent toto et tata, donc forcément

sur A
http://lapub.net/jesuislesiteA
sur B
http://lapub.net/jesuislesiteB

comme c'est ton PC qui invoque les deux pubs et que ton cookie est transmis dans les deux cas, lapub.net sait que tu es sur les deux sites.

la parade étant évidemment de faire pointer dans son fichier host lapub.net sur 127.0.0.1

[ProgVal]

Autant je suis pour l'interdiction des cookies inter-domaines, qui n'ont aucun
sens (et de toutes façons, on peut très bien faire sans, comme par exemple
GitHub qui arrive à propager les identifications à ses différents
sous-domaines), autant je trouve ça complètement stupide de demander
explicitement à l'utilisateur d'accepter les cookies.
Pensez-vous que Mme Michu sait ce qu'est un cookie, en dehors de l'image
diabolique que la télévision en fait ?

alors il est possible de faire un site sans cookie même avec authentification...il "suffit" que chaque page ballade un paramètre ID.

Qui est facilement visible. Il suffit donc qu'un collègue passe derrière toi,
prenne discrètement une photo de ta barre URL (avec une netteté suffisante),
recopie l'ID dans son navigateur, et hop ! il a accès à ton compte.
Magnifique la sécurité !

EDIT: une autre idée, ça pourrait être de mettre un lien (par exemple ici),
vers mon site perso. Un admin de Développez clique sur mon lien, et là, j'ai
un joli HTTP-Referer avec son ID.

EDIT2: je rappelle qu'un User-Agent se change très facilement et n'est donc
pas fiable du tout, en plus du fait qu'il n'est pas unique.
Idem pour les IPs, on n'est pas protégé contre les personnes qui ont la même
que nous (collègues de travail, accès 3G, ...)

EDIT3: une solution, ça pourrait être de changer cet ID à chaque chargement
de page, mais il faut soit une base de données à l'épreuve d'une telle charge,
soit un bon cache

Un site qui oblige les cookies n'est pas fait par des pros.

sans compter tous les sites PHP qui contiennent un session_start() sans que le site n'utilise la session faudrait voir le nombre ce CMS qui font ça en mode consultation anonyme

C'est ce que fait developpez.com

[Paul TOTH]

Qui est facilement visible. Il suffit donc qu'un collègue passe derrière toi,
prenne discrètement une photo de ta barre URL (avec une netteté suffisante),
recopie l'ID dans son navigateur, et hop ! il a accès à ton compte.
Magnifique la sécurité !

EDIT: une autre idée, ça pourrait être de mettre un lien (par exemple ici),
vers mon site perso. Un admin de Développez clique sur mon lien, et là, j'ai
un joli HTTP-Referer avec son ID.

non tu peux très bien coller l'ID dans un champ hidden de la page HTML, à partir du moment ou les formulaires sont en POST rien n'est visible à l'écran...sauf à regarder le source évidemment

je sais pas, faudrait inventer un truc qu'on puisse mettre dans l'entête HTTP et qui soit retourné par le navigateur sans que ce soit lié au contenu de la page Web...ah ben tient ! ça s'appelle un Cookie !

[ProgVal]

non tu peux très bien coller l'ID dans un champ hidden de la page HTML, à partir du moment ou les formulaires sont en POST rien n'est visible à l'écran...sauf à regarder le source évidemment

Les champs hidden ne sont envoyés que lorsque l'on envoie un formulaire, mais pas quand on clique sur un lien. Un lien utilise la méthode GET (et par définition, les données d'un GET sont dans l'URL).

je sais pas, faudrait inventer un truc qu'on puisse mettre dans l'entête HTTP et qui soit retourné par le navigateur sans que ce soit lié au contenu de la page Web...ah ben tient ! ça s'appelle un Cookie !

[benwit]

Les champs hidden ne sont envoyés que lorsque l'on envoie un formulaire, mais pas quand on clique sur un lien. Un lien utilise la méthode GET (et par définition, les données d'un GET sont dans l'URL).

Pour être plus précis, les champs hidden sont envoyés avec le formulaire s'ils en font partis. On peut avoir des champs hidden hors formulaire.

Avec ou sans formulaire, l'envoi peut se faire en POST ou en GET, et effectivement, si c'est en GET, ça transite par l'URL.
On peut faire également des formulaires en GET ou des liens avec POST (en utilisant du javascript).

Si l'idée, c'est de cacher l'id, comme dit Paul, c'est justement l'objectif des cookies qui sont envoyés au serveur par les entêtes HTTP.

Je me répète mais les cookies sont utiles (principalement l'id de session ou des préférences utilisateurs) mais s'ils sont désactivés, grâce à la réécriture d'url et des préférences par défaut, le site devrait rester fonctionnel.

[ProgVal]

Pour être plus précis, les champs hidden sont envoyés avec le formulaire s'ils en font partis. On peut avoir des champs hidden hors formulaire.

Avec ou sans formulaire, l'envoi peut se faire en POST ou en GET, et effectivement, si c'est en GET, ça transite par l'URL.
On peut faire également des formulaires en GET ou des liens avec POST (en utilisant du javascript).

Ce que je voulais dire, c'est que les liens, c'est forcément du GET ; et c'est donc visible dans la barre d'adresse. Et je ne pense pas remplacer tous les liens par des formulaires/boutons soit une solution réaliste.

Je me répète mais les cookies sont utiles (principalement l'id de session ou des préférences utilisateurs) mais s'ils sont désactivés, grâce à la réécriture d'url et des préférences par défaut, le site devrait rester fonctionnel.

Je me répète aussi, mais si on met l'ID de session dans l'URL, ça sera visible par quelqu'un qui peut voir notre écran, d'où un problème de sécurité.

[benwit]

Je me répète aussi, mais si on met l'ID de session dans l'URL, ça sera visible par quelqu'un qui peut voir notre écran, d'où un problème de sécurité.

Sauf que, je ne sais pas si tu as déjà vu ?
Lorsque l'ID de session ne transite pas par cookie mais par l'URL, ce n'est pas un simple entier mais un code hexadécimal souvent imbuvable.

Alors, effectivement, si derrière toi, tu as un autiste, tu pourras te le faire piquer.

[ProgVal]

Qui est facilement visible. Il suffit donc qu'un collègue passe derrière toi,
prenne discrètement une photo de ta barre URL (avec une netteté suffisante),
recopie l'ID dans son navigateur, et hop ! il a accès à ton compte.
Magnifique la sécurité !

Certes, ça fait une protection contre un amateur sans trop de motivation, mais ça ne vaut rien contre une personne déterminée.

[Invité]

Paye ton cauchemar en maintenance si tu doit ajouter ton paramètre derrière tout tes liens ou dans tout tes formulaires (php4 fait ça par défaut).

Le gros problème des cookie c'est pas ceux que récolte un site : tu est sur un site pour profiter d'une applciation, d'un service donc le site utilise les moyen technique à sa disposition pour remplir ses objectifs et améliorer ta navigation, très bien.

Mais le pb c'est toutes les iframe de tracking qui apparaisse partout et permettent de créer des bdd qui pourrissent la vie privée ! Et les cookie facilite ce genre de pratique (google,facebook,bing vous colle un id et vous suit à la trace).

Imaginez si à chaque endroit ou vous aller,dans la rue, à l'épicier, chez un potes, dans un bar, aux putes, acheter de la drogue , chez les flics, en prison et ben Carrefour était mis au courant...

[ProgVal]

Personnellement, je m'en fiche un peu de savoir qu'on me trace sur le Web,
puisque je n'ai pas honte de ce que je fais, ni des pages sur lesquelles
je vais.
Mais je trouve cela anormal que les gens qui ne veulent pas qu'on les trace
soient quand même tracés.

ÉDIT :
Ah tiens, je viens de me rendre compte que plusieurs sites que je consulte
placent (ou plutôt tentent de placer, puisque je bloque ce genre de cookies)
des cookies pour le site addthis.com. Pourquoi donc un site qui propose
d'ajouter des bouton "twitter ceci" ou "facebooker ça" a besoin de placer
six cookies différents sur mon ordinateur à chaque fois que je visite une
page ?