Discussion :

[lysandre]

Bonjour à tous,

Je vais faire passer des informations par une connexion non sécurisé, qui ne sont pas d'un importance capitale. Si ces infos sont interceptées, le risque est seulement que le pirate puisse envoyer des messages sur mon site sous le pseudo d'un autre membre. Un peu comme sur ce forum, quand on poste un message on n'est pas en https donc quelqu'un peu s'amuser à pirater notre identifiant de session pour poster des messages à notre place, ce qui n'a pas grand intéret pour lui.
Ma question est tout de même: entre envoyer les infos par get dans l'url et les envoyer par cookie (comme l'id de session), y-a-t-il un des deux moyens un peu plus sûr?

[Eusebe]

Bonjour à tous,

Je vais faire passer des informations par une connexion non sécurisé, qui ne sont pas d'un importance capitale. Si ces infos sont interceptées, le risque est seulement que le pirate puisse envoyer des messages sur mon site sous le pseudo d'un autre membre. Un peu comme sur ce forum, quand on poste un message on n'est pas en https donc quelqu'un peu s'amuser à pirater notre identifiant de session pour poster des messages à notre place, ce qui n'a pas grand intéret pour lui.
Ma question est tout de même: entre envoyer les infos par get dans l'url et les envoyer par cookie (comme l'id de session), y-a-t-il un des deux moyens un peu plus sûr?

La méthode GET est moins sécurisée, puisque pouvant entraîner une usurpation par simple copier / coller de l'adresse...

[lysandre]

La méthode GET est moins sécurisée, puisque pouvant entraîner une usurpation par simple copier / coller de l'adresse...

Oui donc tu veux dire que finalement on peut modifier un get facilement, mais monsieur tout le monde ne peut pas modifier un cookie dans son navigateur et ainsi envoyer le cookie qu'il veut au site?

[12monkeys]

Bonjour

La question n'est pas de modifier facilement un GET. Imagine que tu passe tes données par GET, une personne va sur ton site, visite... et trouve ton site intéressant, il va mettre son lien en favori et l'envoyer à un ami : il enverra les informations dans le lien : l'ami ouvre ce lien, il pourra alors pris pour le premier utilisateur par le site...

Avec le cookie il faudra déjà accéder à l'ordinateur du visiteur et lui voler le cookie.

[mon_nom_est_personne]

que ce soit get ou post c'est aussi peu sercurisé les un que les autre vu que quoi qu'il arrive les deux sont ecrit dans la requete http. Donc au final aussi facile a intercepter les unes que les autres. le probleme des cookie c'est quee t'enregistre les information sur l'ordi du client donc si tu as affaire a n visieux, il va ouvrir le cookie et faire la meme chose que s'il essayer d'intercepter les requetes. a la limite le mieux c'est encore les session php, tout les info sont sur le serveur tu as juste un id session sur la machine client.