Discussion :

[Costello]

Bonjour!

je développe actuellement un site web assez complet, avec une grosse structure, et qui comprend notamment une gestion de l'identification en utilisant des cookies pour reconnecter automatiquement les visiteurs à leur compte utilisateur.

En gros, lorsqu'un visiteur se connecte à son compte avec le formulaire de login, si le login est correct, un cookie est enregistré (je vous passe les détails).
Lorsqu'il revient sur le site, le cookie permet au visiteur d'être déjà connecté avec son compte, classique quoi. Comme sur les forums.

Sauf que depuis quelques temps, je rencontre un problème très étrange.
Il m'arrive de temps en temps de tester mon site sous IE7 (je développe sous FF3) pour vérifier la compatibilité de la disposition graphique.

Et je constate que parfois - et je n'ai pas réussi à trouver de lien de cause à effet - je suis automatiquement connecté sous IE avec le compte que j'utilisais avec FF !
Je m'explique. Cela se produit à priori aléatoirement donc je ne sais pas le reproduire quand je le souhaite.
Sous FF:
- je crée un nouveau compte utilisateur pour tester
- je me connecte avec ce compte
- je décide d'ouvrir IE pour une raison ou une autre
Sous IE:
- je me connecte à mon site
- en arrivant sur le site, je vois que je suis connecté avec le compte que je viens de créer!

Il me reste donc deux conclusions possibles:

- Sachant que j'utilise les cookies pour la connexion automatique (je n'utilise pas les sessions car évidemment elles expirent bien trop vite) une conclusion possible est que les cookies sont partagés entre IE et FF? cela me semble improbable, mais après tout pourquoi pas?

- Ou alors tout simplement mon code comporte des erreurs. Mais pour avoir programmé lesdits scripts, je n'arrive absolument pas à imaginer par quel mécanisme je puisse me retrouver dans cette situation. C'est pour cela que je pose la question du partage... Si cela s'avère impossible, j'inspecterai plus en profondeur les possibilités de failles.


Dans tous les cas, un franc remerciement si vous avez pris le temps de me lire et surtout de m'aider!
Cordialement,
Costello

[Costello]

Bon, j'ai peut-être un début de réponse!

Apparamment, cela se produit lorsque j'utilise un script d'upload de photos en flash (sous FF3).
Le client HTTP de Flash n'utilise pas les cookies de Firefox, donc j'ai dû passer par une authentification par paramètres GET.

Or, lorsque je me connecte, les infos d'identification sont enregistrés dans le cookie. Flash reçoit donc une demande de sauvegarde de cookie.
Et evidemment.. ou va-t-il sauvegarder le cookie?
Dans les cookies d'IE evidemment!

C'est ma théorie pour l'instant. Je vais essayer de contourner le problème, et si ca fonctionne je reviendrai pour mettre "résolu".
C'était bien étrange en tout cas!

[Costello]

Je confirme, le Flash enregistrait bien le cookie dans les cookies d'IE7...
J'ai contourné le problème en n'envoyant pas de cookie si la requête vient de Flash.

Voilou !