Discussion :

[tomcoch]

Bonjour, je suis encore débutant en PHP et je suis entrain de m'attaquer au tracking des visites et à la création d'une zone membre.
A chaque appel de mes pages, je commence par effectuer un session_start(). Ca fonctionne correctement sous IE 7, un session_id m'est bien attribué et en cas de fermeture/réouverture de la fentre on redémarre sur une nouvelle session. Par contre, sous Firefox 2, le session_id ne change pas apres avoir fermé/réouvert la fenetre si je n'ai pas également fermé TOUTES les autres fenetres Firefox . Ca pose d'évidents soucis de sécurité et je sais plus trop où chercher l'origine de ce problème.

[Azazel.fr]

les sessions sont tuées à la fermeture du navigateur sous FF ; pas de l'onglet (contrairement à IE).
c'est donc un comportement normal.
La solution est de faire un lien pour se délogguer proprement avant de quitter le site.

Sachant que, en général, quand un utilisateur navigue, il est soit :
- sur son propre poste et si sa session n'est pas tuée, ce n'est pas grave...
- sur un autre poste, et il fermera le navigateur avant de partir...

Il faut savoir que cette session n'est pas récupérable par un autre poste. ce n'est pas parce qu'il ferme son onglet qu'il rend sa session "libre de droit" et que n'importe qui d'autre peut se l'accaparer.
La session en cours, non terminée, est récupérable par ce mem poste uniquement.
Si tu veux sécuriser un peu plus, met un timeout de session plus court (30mn par défaut dans php)

[tomcoch]

Merci pour ta réponse azazel, j'ai effectivement essayé avec plusieurs versions de Firefox et le comportement est identique.
J'ai limité la durée de vie de mes sessions à 15mn et il existe bien existe un lien pour fermer la session proprement mais je trouve quand même que ca représente un trou de sécurité dans l'application que je suis entrain de développer car l'accès se fait à partir de postes non dédiés à un seul utilisateur.
M'enfin,j'ai testé le site de ma banque et c'est le même chose problème alors je vais en rester la.