Discussion :

[Sergejack]

Quelle est selon vous la manière la plus appropriée d'employer des cookies pour identifier un utilisateur ? (en combinaison avec des sessions peut-être mais qui permet en tout cas à l'utilisateur de ne plus devoir s'identifier manuellement)

[Eusebius]

Ben... une fois que l'utilisateur s'est authentifié sur le site, tu lui colles un cookie avec son login dedans.
A sa prochaine visite, avant de lui proposer de s'authentifier, tu vérifies s'il a pas un cookie avec une valeur correcte. Si oui, tu l'authentifie automatiquement.

Problème : c'est pas compliqué de forger un cookie comme ça.
Un exemple de remède simple : tu mets pas son login dans le cookie, tu mets un nombre aléatoire (grand). Dans ta base de données, tu as une table qui met en relation les nombres avec les logins.
Et tu oublies pas de changer le nombre souvent...

[Sergejack]

Un exemple de remède simple : tu mets pas son login dans le cookie, tu mets un nombre aléatoire (grand). Dans ta base de données, tu as une table qui met en relation les nombres avec les logins.
Et tu oublies pas de changer le nombre souvent...

Ma question est là, quel est le meilleur (vision subjective) "remède" ?

[Eusebius]

Ma question est là, quel est le meilleur (vision subjective) "remède" ?

Quels sont tes critères de qualité pour définir le terme "meilleur" ? Le niveau de sécurité ? Pas de cookie, et l'utilisateur s'authentifie à chaque fois...

[Sergejack]

Difficulté d'intercepter le cookie (par exemple parce qu'il ne serait communqué au serveur que rarement) par un tiers.
Difficulté de générer un faux cookie ou de fausser un cookie existant.
Difficulté de tirer des informations du cookie.
J'oublie des chosex ?