+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : [Split] Sessions ou cookies signés ? (/showthread.php?tid=5945)
RE: email confirmation d'inscription et envois de mot de passe en clair - archANJS - 29-01-2012
Corrige-moi si ce que je dis est mal, mais il me semble que les cookies, étant stockés côté client, sont lisibles et modifiables, mais les $_SESSION ne sont pas modifiables (par l'utilisateur du moins), étant stockés côté serveur. Non?
RE: email confirmation d'inscription et envois de mot de passe en clair - Sephi-Chan - 29-01-2012
Voici ce à quoi ressemble un cookie signé sur le navigateur :
Citation :BAhJIghiYXIGOgZFRg==--3d18103deea84af0cbd1f5d00f214a4548817c64
Son contenu est chiffré, ce qui le rend illisible. Si tu le modifies, le déchiffrement sera impossible et le cookie deviendra inexploitable.
D'ailleurs, des sites comme Ebay n'utilisent pas de sessions : seulement des cookies. Mais eux le font pour des raisons de scalabilité.
RE: email confirmation d'inscription et envois de mot de passe en clair - niahoo - 29-01-2012
Tu chiffres avec AES ou un truc du genre ?
RE: [Split] Sessions ou cookies signés ? - Sephi-Chan - 29-01-2012
Visiblement c'est de la sérialisation couplé avec une chaîne de contrôle. Cf. Le code de SignedCookieJar et de MessageVerifier.
RE: [Split] Sessions ou cookies signés ? - Angelblade - 29-01-2012
Effectivement je ne fait rien de plus que ce que fait PHP avec le cookie de session.
RE: [Split] Sessions ou cookies signés ? - Sephi-Chan - 29-01-2012
(29-01-2012, 06:28 PM)Angelblade a écrit : Effectivement je ne fait rien de plus que ce que fait PHP avec le cookie de session.
Quel intérêt du coup ? -.-
RE: [Split] Sessions ou cookies signés ? - Angelblade - 29-01-2012
Je préfère le faire pour comprendre et être sûr de ce qui se passe
RE: [Split] Sessions ou cookies signés ? - Sephi-Chan - 30-01-2012
Tu fais tes requêtes SQL en ouvrant un socket avec ta base de données et en envoyant les paquets qui vont bien, ou bien tu utilises la lib pour PHP ?
RE: [Split] Sessions ou cookies signés ? - Angelblade - 30-01-2012
J'ai du relire 3 fois pour comprendre que la question est ironique ^^.
Je vois ce que tu veux dire mais j'avoue n'avoir pas bien saisi comment m'y prendre pour que les fonctions session_*** stockent et récupèrent un nom de session et rien de plus. Je vois pas mon intérêt à appeler ces fonctions juste pour écrire ou lire un cookie.
RE: [Split] Sessions ou cookies signés ? - niahoo - 30-01-2012
Si tu veux juste lire et écrire dans un cookie effectivement tu n'as pas besoin d'utiliser les fonctions de session de PHP car tu n'as pas besoin des sessions.
Après, pour simplement lire et écrire une valeur en session et la retrouver facilement, tu utilises une entrée de ton choix dans le tableau $_SESSION qui est une super-globale. Je ne vois pas où se situe la difficulté. C'est même plus facile que d'utiliser la fonction setcookie