The manual Page
 
accueil | glossaire | downloads | liens ]
 

Les cookies

Introduction

Ce qui fait qu'on est reconnu quand on va sur un site Définition Beaucoup utilisé pour palier à une lacune du protocole HTTP : la gestion des sessions. En effet, le protocole HTTP fonctionne en Domaine => sécurité/restrictions. Bien comprendre ce fonctionnement car source de bugs. chemin (path) durée de validité valeur

La guerre du point dans les domaines

Les cookies et la sécurité

Les cookies ne sont pas dangereux en eux-mêmes

stockage sur disque dur => relecture + tard et/ou reconnexion plus sans phase de login infos importantes dans le cookie ? Vie privée : traqué le comportement sur un site donné (mais on ne peut recouper les infos avec les autres sites car protection / domaine. Un site ne peut récupérer que ses cookies à lui et et ne peut donc pas savoir ce qu'on a fait avant d'arriver sur le site.

Conseils aux développeurs

Pour les développeurs qui souhaiteraient utiliser les cookies, voici quelques conseils :

  • Ne les utiliser qu'à bon escient et que lorsque c'est nécessaire, en se contentant du strict nécessaire.
  • Etant donné que la valeur des cookies circule en clair sur les réseaux, s'assurer que la valeur des cookies n'est pas critique. Par exemple, ne jamais stocker d'identifiant, nom ou de mot de passe en clair. Opter plutôt pour un chiffrement (fort) des données ou une clé de hachage.
  • De la même façon, s'assurer que les cookies ne peuvent pas être contrefaits. Par exemple, ne pas stocker le numéro d'employé pour éviter que quelqu'un ne puisse se faire passer pour un autre employé.
  • Si l'application se trouve sur un domaine sur lequel fonctionnent d'autres applications, s'assurer que les cookies ne risquent pas d'être "échangés" d'une application à une autre. Pour cela, choisir un nom de cookie ne permettant pas de les confondre avec les cookies des autres applications ou bien limiter leur porter en définissant un domaine pleinement qualifié ("www.monsite.com" et pas ".monsite.com") ou un chemin.

Références

Les cookies ne sont pas définis dans les RFCs du protocole HTTP mais dans des RFCs indépendantes, car c'est un mécanisme supplémentaire ne remettant pas en cause HTTP :

  • RFC2109 : HTTP State Management Mechanism. Première RFC définissant les cookies, remplacée par la RFC2965 (voir ci-dessous). Elle reste malgré tout encore largement utilisée.
  • RFC2965 : HTTP State Management Mechanism. Amélioration du mécanisme décrit dans la RFC 2109.

format imprimable format imprimable
Copyright © 2000-2006 themanualpage.org - Ce site est soumis aux conditions décrites dans les licences GNU GPL et FDL.