Discussion :

[kheraud]

Bonjour,

Je me doute que de nombreuses questions abordant ce thème ont été posées sur le forum. Mais je n'ai pas trouvé de réponses complètes, du coup, je repose la question.

Je souhaite faire un site dont le fonctionnement sera similaire à celui de gmail :
- Récupération d'une page
- Envoi de requêtes sans rafraichissement de la page.

Je me pose beaucoup de questions sur la sécurité d'une telle application online. Ayant analysé les cookies et requêtes Gmail je suis assez perplexe sur la meilleure manière de faire pour sécuriser les échanges de données.

Mes questions sont les suivantes :
- Est-il possible de faire de l'AJAX sur https plutôt qu'http ? quel est l'inconvénient d'une telle manière de faire ?
- l'utilisation de sessions ($_SESSION, et oui le serveur sera en php...) est-il suffisamment sûr ?
- Certaines personnes désactivent les cookies. Comment garder une authentification sur le serveur malgré cela ?
- Quel est selon vous la meilleure manière d'avoir des échanges sécurisés entre le client web et le serveur. Je précise que je ne cherche pas à crypter tous les échanges. Je veux juste m'assurer que celui qui sollicite le serveur est bien celui qui possède le compte (le vol de session aurait des conséquences graves) ?

Merci pour votre aide (et votre patience avec les débutants)

K.

[DoubleU]

Salut,

l'utilisation de sessions ($_SESSION, et oui le serveur sera en php...) est-il suffisamment sûr ?
- Certaines personnes désactivent les cookies. Comment garder une authentification sur le serveur malgré cela ?
- Quel est selon vous la meilleure manière d'avoir des échanges sécurisés entre le client web et le serveur. Je précise que je ne cherche pas à crypter tous les échanges. Je veux juste m'assurer que celui qui sollicite le serveur est bien celui qui possède le compte (le vol de session aurait des conséquences graves) ?

De manière générale, ces questions seraient peut être plus a leur place sur le forum sécurité, voire php pour avoir le retour d'expériences de gens qui ont déja eu les mêmes problématiques, car Ajax est simplement un moyen d'envoyer une requete HTTP depuis le client javascript donc la gestion des sessions utilisateur, des coockies, etc... se fait de la même manière que si tu n'utilisais pas Ajax.

Est-il possible de faire de l'AJAX sur https plutôt qu'http ? quel est l'inconvénient d'une telle manière de faire ?

Jamais testé personnellement, mais j'imagine que c'est possible étant donné qu'HTTPs n'est qu'une "version" de HTTP dans laquelle l'authentification se fait de façon transparente en SSL.
Peut être que quelqu'un peut confirmer (ou infirmer).

[Bovino]

Jamais testé personnellement, mais j'imagine que c'est possible étant donné qu'HTTPs n'est qu'une "version" de HTTP dans laquelle l'authentification se fait de façon transparente en SSL.
Peut être que quelqu'un peut confirmer (ou infirmer).

C'est possible effectivement, sauf bien sûr de faire un requête HTTP vers un HTTPS (même sur le même domaine)

[kheraud]

Merci pour l'aide !

Je vais donc me renseigner auprès du forum sécurité.

Bonne journée,

[emmanuel.remy]

- l'utilisation de sessions ($_SESSION, et oui le serveur sera en php...) est-il suffisamment sûr ?

Oui et de toute façon il n'y a pas des dizaines de façons de faire, et si tu le souhaites tu peux gérer toi même la sérialization des données de session en redéfinissant les fonctions PHP de session

- Certaines personnes désactivent les cookies. Comment garder une authentification sur le serveur malgré cela ?

Soit en activant l'option session.use_trans_sid soit en ajoutant le session ID à tes urls via SID

- Quel est selon vous la meilleure manière d'avoir des échanges sécurisés entre le client web et le serveur. Je précise que je ne cherche pas à crypter tous les échanges. Je veux juste m'assurer que celui qui sollicite le serveur est bien celui qui possède le compte (le vol de session aurait des conséquences graves) ?

Par exemple la mise en place d'un Certificat Client.

ERE