Php, cookies ou session pour une authentification ?

Bonjour AlsacreationS..

Quel est votre methode de travail concernant l'authentification de vos membres ou parties privés de vos sites ? Priorité au cookies ou les session ?..quel sont les avantages et désavantages de chaque ?

Dans mon cas le but est de creer une section membre qui leur permettra d'accéder a des options supplémentaires..Pour le moment j'ai fait cela avec des session et cela fonctionne tres bien pour la navigation entre différentes pages ...oui oui, tant que l'ont ferme pas le navigateur ...
Voilla donc que je cherche a gérer cela avec des cookies..bonne orientation ?

Salut,
oui et non...
C'est sûr que si tu poses un cookie sur la machine de ton utilisateur, sa session continue (en fonction de la durée prévue pour le cookie) mais elle continue aussi pour un autre utilisateur qui viendrait sur sa machine, pas top en matière de sécurité, on fait plutôt ça pour des préférences de css, design ou autre mais pas trop pour l'accès à un espace sécurisé. En général on donnerait même plutôt un lien "se déconnecter" pour arrêter la session quand on quitte l'espace d'identification, exactement l'inverse.
Alors perso, sans hésitation, session et sans passage de l'id par l'url. Rien n'est parfaitement sécurisé et une session peut s'intercepter mais les cookies posent justement des problèmes de persistance sans parler des proxies qui les stockent et peuvent les rendre accessibles à plusieurs machines, etc, etc.

Have swing

Salut,

virtualgadjo a écrit :
C'est sûr que si tu poses un cookie sur la machine de ton utilisateur, sa session continue (en fonction de la durée prévue pour le cookie) mais elle continue aussi pour un autre utilisateur qui viendrait sur sa machine, pas top en matière de sécurité, on fait plutôt ça pour des préférences de css, design ou autre mais pas trop pour l'accès à un espace sécurisé. En général on donnerait même plutôt un lien "se déconnecter" pour arrêter la session quand on quitte l'espace d'identification, exactement l'inverse.

Tiens, et comment fait Gmail pour mémoriser mon droit d'accès pendant 15 jours, alors ??

Il faut faire attention à ce qu'on stocke dans les cookies, mais ce n'est pas forcément dangereux. Et puis, il faut adapter la sécurité de ton système en fonction des risques ... Tous les sites n'attirent pas particulièrement les pirates, inutile de plancher des semaines sur la sécu d'un site vitrine

Edit: par contre, pour les cookies, penser à laisser le choix à l'utilisateur, s'il veut accéder depuis une machine publique, par exemple. Et le bouton déconnexion est évidemment bien utile
Modifié par Thomas D. (25 Mar 2007 - 22:25)

Salut,
et bien gmail utilise probablement des cookies, comme ce forum où je suis bien content de ne pas devoir me reconnecter chaque fois que j'arrive
Attention, je ne fais pas haro sur le cookie et les utilise aussi à l'occasion, cryptés ou pas, mais il faut en connaître les limites en termes de sécu parce que ça veut dire aussi que si quelqu'un se connecte avec ta machine il a accès à tes mails comme toi ! Tout est là et c'est juste ce que je signalais.
Alors tu as raison, souvent, ce n'est pas bien grave, ça a l'air d'être le cas ici, accès à des options, bon, il n'y a pas mort d'homme, en revanche, dans bien des cas, admin, accès à des infos perso, la donne change un poil, sachant en plus que dès qu'on stocke des infos persos sur des visiteurs, en dehors de la déclaration à la cnil, on en est plus ou moins responsable...
Pour le reste, je pensais un peu comme toi jusqu'à ce que mon site sur le jazz manouche soit piraté deux fois de suite (en passant par une faille de sécurité côté base de données chez mon hébergeur, et oui, ils sont même venu raconter comment sur mon forum) et figure en bonne place sur la home de zataz !!! si, si, tu as bien lu, un site perso sur le jazz manouche, pas la banque de france .
Bon, j'étais content de savoir qu'ils n'étaient pas passés par une faille dans une des applis que j'ai écrites pour le site, mais voilou, les pirates sont parfois, souvent, là où on ne les attend pas, loin des mers de chine

Have swing

Bonjour,
Bah perso, j'utilise les deux : sessions pour la navigation entre les pages, et cookies pour la persistance après avoir quitté le navigateur.

En général, dans mes cookies, je stocke l'id de l'utilisateur et son mot de pass md5isé.
LE seul truc où il ne faut pas se faire avoir (je me suis fait avoir moi-même d'ailleurs sur mon petit RPG, c'est quand tu recrées une session à partir du cookie : il faut bien vérifier que les mots de passe correspondent, sinon n'importe quel imbécile peut changer l'id dans le cookie et se connecter chez quelqu'un d'autre).