« Programmation PHP/Sessions » : différence entre les versions

m
Robot : Remplacement de texte automatisé (- qu'à + qu’à )
m (Robot : Remplacement de texte automatisé (- d'être + d’être ))
m (Robot : Remplacement de texte automatisé (- qu'à + qu’à ))
Une session est toujours plus sécurisée qu'un cookie puisque le client ne peut pas la modifier manuellement. Un risque subsiste tout de même si l'identifiant de session peut être découvert.
 
Par exemple, les cookies transitent sur le réseau en clair. Si quelqu’un est capable d'intercepter les communications entre le client et le serveur, il est capable de voir le cookie et de découvrir l'identifiant de session. Il n'aura alors plus qu'àqu’à créer un faux cookie et PHP le prendra pour le pauvre internaute s'étant fait voler son cookie.
Pour éviter cela, on peut utiliser une connexion cryptée ou configurer le serveur de façon à ce qu’il rende la lecture de ce cookie impossible par [[JavaScript]] (''Http Only'').
 
2

modifications