Forum d'entraide PHPFrance

Bonjour

Je lis dans certains tutoriels que les cookies n'assurent pas une sécurité à toute épreuve. Je me suis demandé si cette affirmation n'est pas un peu exagérée car, sachant que mes cookies sont stockés sur mon ordinateur, je comprends mal comment quelqu'un pourrait lire ou modifier mes cookies , à moins d'avoir accès à mon appareil. Il faudrait d'abord me passer sur le corps. (Attention ! j'ai fait un peu de karaté. )

Farce à part, j'aimerais avoir l'heure juste à ce sujet car je les utilise beaucoup sur mon site et je ne voudrais pas mettre les éventuels membres à risque. Par contre, si les membres ne protègent pas leur machine, moi je n'y peux rien.

Deuxième question:
À supposer qu'un méchant puisse avoir accès à mes cookies, à quoi lui servirait de connaître le mot de passe "haché" ? De plus, mon site n'a rien d'une banque ou d'un coffre-fort. Il n'y a rien à voler. Je ne vois pas pourquoi un hacker perdrait son temps à y pénétrer par effraction. Ce serait plus simple de s'inscrire.

Si j'ai tout faux, merci de me remettre sur la bonne voie.
Bonne journée

La question c'est surtout pourquoi mettre le mot de passe haché dans un cookie ???
Si c'est pour maintenir une connexion, le mieux c'est d'utiliser les sessions, du coup toutes les données associées à cette session seront stockées sur ton serveur et sur la machine de l'utilisateur il n'y aura qu'un seul cookie qui contient l'ID de session que seul ton serveur sera à même de reconnaitre et d'y associer les données correspondantes.
C'est comme cela que fonctionne quasi tous les sites internet (Google et Facebook notamment) et c'est aussi simple que d'utiliser les cookies.

Hello

Merci de ta réponse, Arthur. Je remarque surtout que tu ne me contredis pas. J'ai eu du mal à mettre en place la connexion automatique avec les sessions, je me suis donc rabattu sur les cookies. La méthode utilisée par les mastodontes du Net tels Google et Facebook est sûrement la meilleure. Eux cependant ont probablement leurs propres serveurs.

Je vais donc continuer à chercher la manière correcte d'utiliser les sessions car, en dépit d'avoir suivi religieusement des tutoriels incontestés, le système de sessions ne fonctionne pas pour moi.

Je tiens à préciser que je cherche seulement à m'instruire et non pas à importuner, je te retourne donc la question: pourquoi ne pas mettre le mot de passe haché dans un cookie ?

a+

Parce que ça reporte la sécurité sur le poste de chaque utilisateurs et donc ce n'est pas une bonne pratique en terme de sécurité quand il existe une solution pour faire autrement.

Les sessions fonctionnent également grace aux cookies donc il n'y a pas de raison que ça ne fonctionne pas sur ton serveur, il faut essayer de pousser un peu plus les tests.
J'ai pris Google et Facebook comme exemple mais tous les sites qui ont une identification quasiment sans exception fonctionnent comme cela.

D'accord. Je me doute bien qu'il y a un vice quelque part dans mon code. Je vais relire le mode d'emploi et poursuivre les tests.

D'autre part ta réponse me rassure d'une certaine manière. La sécurité repose sur la surveillance de mon poste mais je conviens qu'il serait préférable de la confier au serveur.

Merci et bonne fin de journée