> Tech > Mises en garde concernant l’utilisation des cookies

Mises en garde concernant l’utilisation des cookies

Tech - Par iTPro - Publié le 24 juin 2010
email

Le stockage des données de session dans une base de données SQL et leur récupération au moyen d’un cookie utilisateur présentent des avantages et des inconvénients. L’avantage principal est que vous pouvez rendre facilement les données de session persistantes sans recourir à des variables mémoire volatiles, fortement consommatrices de ressources.

Un inconvénient est que vous savez uniquement ce que fait l’utilisateur, mais vous ne connaissez pas son identité. Si un nouvel utilisateur visite par la suite le même site Web à partir du même ordinateur, il disposera du même accès que le précédent jusqu’à l’expiration de la session.

Du point de vue de la sécurité, la méthode du cookie UUID ne doit pas être considérée comme sécurisée sur les sites Web publics qui ne requièrent pas d’authentification (login). Sur un intranet ou un extranet sécurisé, nécessitant une connexion des utilisateurs, vous pouvez toujours utiliser le gestionnaire cookie-session SQL et vous connaissez l’identité de l’utilisateur à partir du contexte d’une connexion sécurisée.

Si votre site Web requiert l’authentification et la validation des utilisateurs, il est possible de renforcer la sécurité des pages Web en stockant un deuxième UUID dans un autre cookie utilisateur. Liez le deuxième UUID à l’ID utilisateur réel dans la base de données SQL en coulisse, au moyen d’une simple table de conversion, et faites expirer régulièrement le deuxième UUID. Si une personne parvient à lire les cookies sur l’ordinateur de l’utilisateur ou à capturer des paquets provenant de votre site, l’intrus ne verra que des nombres non séquentiels, sans aucune signification. D’ici à ce qu’un utilisateur astucieux découvre le cookie et essaie de l’utiliser pour récupérer des données, il aura probablement expiré et sera inutilisable. Si vos UUID sont conformes aux spécifications publiées et si chacun est réellement unique et universel, ils déjoueront également le jeu consistant à « deviner le prochain ID » car il est impossible d’utiliser un UUID pour en deviner ou en extrapoler mathématiquement un autre. Consultez l’encadré « Ressources supplémentaires » pour une liste des ressources concernant les spécifications.

Téléchargez gratuitement cette ressource

Guide de Services Cloud Managés

Guide de Services Cloud Managés

Accélérer votre transformation digitale, protéger et sécuriser vos environnements Cloud avec les offres de support, d'accompagnement et de services managés. Découvrez le TOP 3 des Services Managés pour accompagner la transformation de vos environnements Cloud, gagner en agilité et en sécurité dans un monde d'incertitudes.

Tech - Par iTPro - Publié le 24 juin 2010