Bonjour,
 
Je cherche à créer un accès sécurisé à mon site. J'ai accès à un certificat ssl mutualisé. Je me demandais si c'était sécuritaire d'utiliser un cookie ou une session pour un accès sécurisé. A-t'on besoin d'être en https pour l'utilisation des informations contenues dans la session et le cookie ? Et quelle est la meilleure méthode pour créer un accès sécurisé ? Si vous connaissez des sites traitant de ces questions, je suis preneur !
 
Merci d'avance,
Oliparcol

J'ai l'impression que tu mélange tout.
en HTTPS tu sécurise l'échange d'informations entre le serveur et le client, mais tu sécurise pas l'information elle même..
Si tu veux un accès sécurisé sur ton site (donc avec login/password), alors tu peux utiliser soit une authentification HTTP (basic/digest) ou en PHP avec une session (et éventuellement un cookie pour éviter d'avoir à se reconnecter a chaque fois).
 
 
Cela dit, une session fait appel à un cookie.. Mais ca, c'est une autre histoire

oui, je sais que le https ne sécurise que les échanges entre le client et le serveur. Donc je me demandais s'il est utile de le mettre tout le temps, dès qu'on est en session, ou seulement lors de la saisie du mot de passe...

Au moins pendant la saisie du mot de passe. Si tu peux, pour toute la durée de la visite sur le site.

okay, parce que si des gens peuvent intercepter le mot de passe, ils peuvent aussi intercepter le cookie de la session non ?

s'ils interceptent le mot de passe, ils ont besoin de rien d'autre
Ensuite il existe le vol de session (et donc de son contenu => du mot de passe).
 
J'avais lancé un débat intéressant ici : http://forum.hardware.fr/hfr/Progr [...] 1305_1.htm

merci je vais lire le post attentivement