Lequel Utilise : Cookies ou Session ?

[apt]

Bonsoir,

Dans une zone membres, que ce soit une inscription, un login ou interface admin,

lequel est plus utilise, vue cote fiabilte et securite les :

Cookies

Sessions

Tout en sachant que quelques internautes font restreindre les cookies de leurs navagateurs.

Merci.

[jerkev]

avis perso... mais il y a de plus en plus de personne set de browsers qui desactivent les cookies, sauf ceux de session => le choix s'impose facilement en faveur de ssessiosn si ce sont de sdonnées indispensables a la navigation ou au commerce du site : plutot les sessiosn..

[Ganf]

La question n'a pas de sens.

Le cookie est un procédé de transmission, la session c'est un procédé applicatif. Si cette phrase ne vous semble pas clair, peut être que celle là le sera : la plupart du temps les sessions passent par des cookies.

Opposer les deux est un peu étrange.

Maintenant :

- quand tu parles d'utiliser les cookies en les opposant aux sessions ça peut vouloir dire deux choses.

Tout d'abord refaire un système similaire aux sessions PHP mais en le recodant de 0, là à la base c'est une mauvaise idée, au mieux ton système sera identique aux sessions, mais il a aussi toutes les chances d'être moins bien, surtout du coté sécurité

Ou alors ça veut dire stocker toutes les données dans le cookies, les envoyer au client et les récupérer à chaque fois. Si tu as une authentification à faire ou des données de ce type là à stocker, c'est la chose la plus importante à éviter.

Sauf si c'est pour des petites trucs qui ne posent aucun problème de sécu (type les préférences utilisateur ou retenir l'email pour éviter qu'on le retappe à chaque fois dans les forum) : oublie les cookies et utilises les sessions

voir : http://blog.dreams4net.com/CookiesEtAccessibilite

- Quand tu utilises une session, le principe c'est de donner un identifiant au visiteur et faire en sorte qu'il te le rappelle à chaque visite. Cet identifiant on a deux manières de le transmettre : un cookie, ou le faire passer dans l'url des pages. Le cookie marche très bien (normal, ça a été créé pour) mais c'est dépendant de la bonne volonté du client (qui peut les désactiver).

L'identifiant dans l'url ça marche même sans bonne volonté du client mais ça rend souvent la page non conforme, de plus ça perturbe les bookmark et l'indexation. Mais surtout, ça pose de sérieux problèmes de sécurité.

Dans ces problèmes de sécurité on a la possibilité pour un tiers de récupérer tes identifiants (et donc de te voler ta session) via le problème des Referer HTTP, ou une facilité déconcertante pour faire une attaque par fixation de session. Dans tous les cas l'idée même de passer l'identifiant dans l'url doit être oubliée, la fonctionnalité doit être désactivée.

Voir : http://blog.dreams4net.com/SessionsIdentifiantsEtReferants

- Si des gens veulent couper les cookies tant pis pour eux. Ils savent ce qu'ils font, c'est leur problème. On n'est plus comme il y a quelques années où les magazines criaient que les cookies sont le mal, et où les utilisateurs les désactivaient sans savoit les remettre ni comprendre les conséquences.

Actuellement si quelqu'un refuse un cookie c'est qu'il le fait exprès et qu'il connait très bien les conséquences (la plupart des gros sites ne marchent plus sans cookie). S'il veut se servir de la fonctionnalité de ton site : a lui d'activer ses cookies.

De plus, pourquoi voudrait-il couper les cookies ? ça ne serait pas justement pour qu'on évite de le tracer et de stoquer des informations sur lui ? ce n'est pas justement ce que tu cherches à faire sur ton site (même si c'est pour des trucs "honnetes" comme l'authentification) ? S'il retire les cookies c'est pour ne pas avoir le type de fonctionnalité que tu essaies de lui donner. Tu n'as donc pas à essayer de le "forcer".

à voir :

http://blog.dreams4net.com/P3pEtFiltresDeCookies

http://blog.dreams4net.com/CookiesEtAccessibilite