Discussion :

[Anonyme1784]

Bonsoir,
je ne trouve pas de tuto sur les cookies de session,
je souhaite comprendre la différence entre les cookies et les cookies de session s'il vous plait.

Merci

[sabotage]

Un cookie de session est un cookie normal qui contient l'identifiant de la session.

[Anonyme1784]

Merci,
Vous auriez un tuto s'il vous plait?
je souhaite savoir comment sécuriser mes cookies S'il vous plait
J'ai vu ce code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

setcookie('user', $nom, time() + 300*24*3600, null, null, false, true);

Mais je connais pas trop le genre de sécurisation que c'est ...

Bref en tout cas je connais des modules qui permettent de créer des cookies (sur chrome notamment) mais si j'autorise à ceux dont le cookie user existe et que certains crée ce cookie, ils pourront faire des choses pas bien

Donc je me demandais est ce que les cookies de session sont plus sécurisés que les cookies normaux ?

[ABCIWEB]

Bref en tout cas je connais des modules qui permettent de créer des cookies (sur chrome notamment) mais si j'autorise à ceux dont le cookie user existe et que certains crée ce cookie, ils pourront faire des choses pas bien

Bien vu et c'est pour cela qu'on ne doit pas créer un système sécurisé tenant compte uniquement de la seule existence d'un cookie.

Donc je me demandais est ce que les cookies de session sont plus sécurisés que les cookies normaux ?

Dans ce cas la valeur du cookie (= identifiant de session) est à chaque fois différente et unique pour chaque session. Si la valeur du cookie ne correspond pas à une session en cours alors il ne peut servir a rien.

Il faudrait donc pirater le réseau pour noter le coockie d'une cible victime, et se servir de son identifiant de session avant que sa session ne soit expirée pour pouvoir en tirer profit. Ce qui demande un savoir faire qui n'est pas à la portée de tout le monde et surtout des condition favorables (être à proximité de la cible).
Mais pas impossible dans l'absolu et c'est pourquoi on utilise une connexion sécurisée de type ssl pour un degré supérieur de sécurité (ex : transaction bancaire), ce qui se traduit par des url commençant par https.

Cependant pour un usage courant, fonctionnement de ce site par exemple et même pour la plupart des sites de vente en ligne (excepté la dernière page de règlement) on estime que le système de session standard offre un degré de protection suffisant.