Je n'aimerai pas que mes propos soient mal interprétés.
Je ne diabolise pas les cookies, au contraire, je trouve qu'ils ont leur utilité (comme faire transiter l'id de session) mais il ne faut pas les utiliser de travers pour faire tout et n'importe quoi et obliger l'internaute à les activer.
Je dis juste qu'un site devrait fonctionner même sans cookie. Pour retrouver la session d'un utilisateur, le cookie de session a cet intérêt. Maintenant, si le site est bien fait, même en cas de cookie désactivé, l'id de session transite soit pas l'url, soit dans une entête http.
Pour ce qui est de la durée de vie, c'est plus lié à l'application. Est-ce qu'on veut que la session expire ? est-ce qu'on veut une authentification systématique ?
Partager