« Consentement explicite » obligatoire pour l'utilisation des Cookies sur les sites Web à partir du 25 mai, Bruxelles a légiféré

poringkiller
Nouveau Membre du Club
le 09/03/2011

Encore une décision qui me semble à coté de la plaque. Plutôt que d'interdire les cookies publicitaires, qui, fondamentalement, ne gênent pas les utilisateurs (sans vouloir me faire l'avocat du diable, mieux vaut recevoir une publicité ciblée qui peut potentiellement nous intéresser, plutôt qu'une publicité quelconque qui ne fera que nous gêner), ne serait-ce pas à l'utilisateur de gérer une liste de sites pour laquelle les cookies sont interdits, ou plus radicalement, de bloquer les publicités grâce à un plugin comme adblock ?
je ne comprend pas pourquoi la loi vient mettre son nez ici

Paul TOTH
Expert Confirmé Sénior
le 09/03/2011

Citation:

Envoyé par poringkiller

Encore une décision qui me semble à coté de la plaque. Plutôt que d'interdire les cookies publicitaires, qui, fondamentalement, ne gênent pas les utilisateurs (sans vouloir me faire l'avocat du diable, mieux vaut recevoir une publicité ciblée qui peut potentiellement nous intéresser, plutôt qu'une publicité quelconque qui ne fera que nous gêner), ne serait-ce pas à l'utilisateur de gérer une liste de sites pour laquelle les cookies sont interdits, ou plus radicalement, de bloquer les publicités grâce à un plugin comme adblock ?
je ne comprend pas pourquoi la loi vient mettre son nez ici

hum...à la rigueur il aurait fallut légiférer sur l'usage autorisé des cookies, auquel cas un utilisateur averti pourrait porter plainte sur un usage illicite, mais avertir l'utilisateur qu'un site demande de stocker une info...autant décider que pour envoyer un spam il faut commencer par avertir l'utilisateur qu'il va en recevoir un !

Firwen
Membre émérite
le 09/03/2011

Mh vous avez un peu tendance à zoomer sur le coté noir de la loi.

La loi impose aussi à signaler explicitement toute installation de spyware, web bugs ou stats collectors et autre joyeuseté dangereuse du genre.
Ce qui est plutot normal quand on voit se qui s'est passé avec des affaires comme le rootkit de Sony par exemple... Et ce qui devrait réduire un peu la quantité de shareware infestés par ces saletés qui pullulent sur la toile.

Traroth2
Membre Expert
le 09/03/2011

Excellente nouvelle. Enfin une loi qui vise à réguler le chaos croissant des publicités sur le web, qui ne respectent aucune déontologie.

Plus important, ça va aussi limiter un peu les possibilités de collecte de données par les réseaux sociaux, en particulier Facebook.

Palca
Membre confirmé
le 09/03/2011

Encore une loi stupide démontrant l'incompréhension totale des politiques en matière d'Internet.
Le pire dans tout ça, c'est que ça ne concerne évidemment que les entreprises de l'UE, comme si elles n'étaient pas déjà assez désavantagées comme ça

Paul TOTH
Expert Confirmé Sénior
le 09/03/2011

Citation:

Envoyé par Traroth2

Excellente nouvelle. Enfin une loi qui vise à réguler le chaos croissant des publicités sur le web, qui ne respectent aucune déontologie.

Plus important, ça va aussi limiter un peu les possibilités de collecte de données par les réseaux sociaux, en particulier Facebook.

Citation:

Envoyé par Palca

Encore une loi stupide démontrant l'incompréhension totale des politiques en matière d'Internet.
Le pire dans tout ça, c'est que ça ne concerne évidemment que les entreprises de l'UE, comme si elles n'étaient pas déjà assez désavantagées comme ça

mettez vous d'accord

Palca
Membre confirmé
le 09/03/2011

Loi européenne = entreprises européennes, pas le reste du monde...
Donc Facebook, Adwords et compagnie ne sont absolument pas concernés.

Par contre les entreprises de l'UE du type publicité, statistiques, en fait n'importe quel service tier (ça doit aussi concerner les fournisseurs OAuth je suppose) vont devoir "demander la permission" à chaque utilisateur, je doute que ça leurs soit très bénéfique face à la concurrence hors-UE.

pmithrandir
Membre Expert
le 09/03/2011

Citation:

Envoyé par Palca

Loi européenne = entreprises européennes, pas le reste du monde...
Donc Facebook, Adwords et compagnie ne sont absolument pas concernés.

Par contre les entreprises de l'UE du type publicité, statistiques, en fait n'importe quel service tier (ça doit aussi concerner les fournisseurs OAuth je suppose) vont devoir "demander la permission" à chaque utilisateur, je doute que ça leurs soit très bénéfique face à la concurrence hors-UE.

Facebook et adwords, etc... ont des filiales en europe me semble t'il de toute facon...

Mais plus que cela, ils doivent s'adapter au droit local, au risque de se voir interdire purement et simplement de l'Europe.

De toute facon, je ne m'inquiete pas, ces géants seront completement dans la légalité très vite. Ils n'ont pas souvent interet a aller contre le législateur en combat ouvert.Surtout quand celui ci représente 550 Millions de personnes.

Bourgui
Membre expérimenté
le 09/03/2011

- Personne ne stocke le panier dans les cookie, mais dans la session utilisateur ou mieux dans le compte utilisateur (a part le site de la coup du monde de rugby 2011, donc tu rempli ton panier, tu essaie de payer du boulot le lendemain mais ton panier est vide, meme si tu as crée un compte ... ^^)

- Un cookie de session en tant que cookie "panier" permet de contourner facilement la loi en mettant n'importe quoi en session

- un cookie de pub peut etre vu comme un cookie servant pour la vente

- imaginez le mec qui a fait 50 sites pourris pour les commerces de son village et qui se retrouve devant la justice parce qu'il a utilisé les cookies (pour par exemple se souvenir de la navigation)

- encore une loi pour faire des lois : jamais appliquée, aucun moyen pour de toute manière, et ça servira dans 1 ou 2 procès stupide par an.

La seule solution est :
- inclure dans le format des cookie un comentaire (je sais pas si il le faut ça existe déjà)

- forcer les navigateurs a demander l'autorisation pour les cookie

- créer une liste noire des entreprises productrice de cookie, faire un parallèle avec les noms de domaine enregistré par cette boite, et que les navigateurs interdisent tout leur cookie

Mais je pense que les gens qui ont encore une fois légiférée pour la beauté du geste n'ont pas demandé a des gens qui savent comment marche le web, quels outils étaient à leur disposition et lesquels sont les plus efficace ..

erroneus
Membre du Club
le 09/03/2011

J'ai envie de poser une question naïve : à quoi servent les cookies ?

Dans le cadre d'un site avec session ou panier, je vois bien à quoi ça sert. Pour les préférences, un peu moins, surtout si c'est un site où je peux m'enregistrer (et du coup sauvegarder mes paramètres). Mais pour tout le reste, à part me pister (pour faire des stats et vérifie rl'ergonomie du site ?) et me fourger de la pub ciblée, je ne vois pas.

Est-ce que mon boulanger a un besoin impérieux de savoir que je sors de chez le dentiste et que je vais ensuite rendre visite à ma grand-mère pour me vendre une baguette ?

Concernant le besoin de légiférer, il me semble qu'il existe des lois sur la publicité non-sollicitée et la collecte d'information à l'insu des gens.

Je rêve d'un internet sans spam, sans AdSense et sans violation de la vie privée. Pas sûr que l'UE puisse y arriver.

Paul TOTH
Expert Confirmé Sénior
le 09/03/2011

Citation:

Envoyé par erroneus

J'ai envie de poser une question naïve : à quoi servent les cookies ?

Dans le cadre d'un site avec session ou panier, je vois bien à quoi ça sert. Pour les préférences, un peu moins, surtout si c'est un site où je peux m'enregistrer (et du coup sauvegarder mes paramètres). Mais pour tout le reste, à part me pister (pour faire des stats et vérifie rl'ergonomie du site ?) et me fourger de la pub ciblée, je ne vois pas.

Est-ce que mon boulanger a un besoin impérieux de savoir que je sors de chez le dentiste et que je vais ensuite rendre visite à ma grand-mère pour me vendre une baguette ?

Concernant le besoin de légiférer, il me semble qu'il existe des lois sur la publicité non-sollicitée et la collecte d'information à l'insu des gens.

Je rêve d'un internet sans spam, sans AdSense et sans violation de la vie privée. Pas sûr que l'UE puisse y arriver.

je ne comprend pas ton analogie

le cookie est lié à un domaine - voir à une URL, quand toto.fr pose un cookie, tata.fr ne le voit pas.

et comme dit plus haut, il suffit de coller un ID dans un cookie pour garder sur le serveur toutes les informations dont on voudrait prétendre qu'il ne faut pas les conserver.

la seule option serait d'avoir une whitelist de sites autorisés aux cookies, pour les autre un message demandant si on accepte...mais je n'en vois pas l'intérêt.

erroneus
Membre du Club
le 09/03/2011

Citation:

Envoyé par Paul TOTH

je ne comprend pas ton analogie
le cookie est lié à un domaine - voir à une URL, quand toto.fr pose un cookie, tata.fr ne le voit pas.

Il m'est déjà arrivé de regarder un produit sur un site toto.fr, puis d'aller consulter un site tata.fr qui n'avait rien à voir et d'avoir de la pub sur ce dernier pour le site toto.fr et plus particulièrement pour le produit que j'avais consulté ... À un moment, tata.fr a bien eu accès à ce que j'avais fait.

La quasi-totlaité des sites te collent un cookie. À part pour des cas précis comme les sites où tu es enregistré avec login et mdp, je ne sais pas à quoi sert le cookie. D'où ma question naïve.

Pour les popups, ce n'est pas un problème de les bloquer par défaut et de valider manuellement ceux des sites qu'on veut voir. Je ne suis pas développeur web. Si les cookies sont vraiment indispensables à la majorité des sites, alors ça va être une galère de cliquer à chaque fois. Maintenant, si la plupart sont superflus ou néfastes, ce n'est p-e pas plus mal de contrôler ce qui se passe.

benwit
Rédacteur/Modérateur
le 09/03/2011

Mon avis :

De base, n'importe quelle site peut créer un cookie si vous ne l'avez pas interdit.
Ce cookie est rattaché à un chemin (généralement un nom de domaine) mais il semblerait que l'on puisse descendre plus finement.

Sans faille de sécurité, un site ne peut voir que ses cookies à lui et pas les autres.

Maintenant, pour ce que tu évoques, je vois deux solutions possibles :
1) Dans le site tata, il y a une iframe vers toto. Tu as donc un morceaux de toto dans tata et tata ignore tout de toto !
2) Rien n'empèche les sites toto et tata d'avoir des accords et de communiquer entre eux. Imaginons que toto associe certains de tes choix à ton IP, rien n'empèche côté serveur que tata demande à toto les préférences qu'il à mémoriser pour une IP donnée.

benwit
Rédacteur/Modérateur
le 09/03/2011

Mon avis bien tranché de professionnel : Les cookies pouvant être désactivés par l'internaute, on devrait uniquement s'en servir pour des préférences utilisateurs optionnelles qui lui simplifie la vie. Un site devrait marcher sans.

Un site qui oblige les cookies n'est pas fait par des pros.
Certains ne seront peut être pas d'accord et c'est leur droit mais écrire une page (quand elle existe) expliquant comme activer les cookies (pour un seul navigateur généralement), c'est un truc à faire fuir les utilisateurs ... mais bon, si c'est la fonction de votre webapp, allez y

Paul TOTH
Expert Confirmé Sénior
le 09/03/2011

Citation:

Envoyé par benwit

Mon avis bien tranché de professionnel : Les cookies pouvant être désactivés par l'internaute, on devrait uniquement s'en servir pour des préférences utilisateurs optionnelles qui lui simplifie la vie. Un site devrait marcher sans.

Un site qui oblige les cookies n'est pas fait par des pros.
Certains ne seront peut être pas d'accord et c'est leur droit mais écrire une page (quand elle existe) expliquant comme activer les cookies (pour un seul navigateur généralement), c'est un truc à faire fuir les utilisateurs ... mais bon, si c'est la fonction de votre webapp, allez y

alors il est possible de faire un site sans cookie même avec authentification...il "suffit" que chaque page ballade un paramètre ID.

sauf que justement l'avantage d'un cookie c'est qu'il est lié au domaine (ou à l'URL) et non aux données de la page.

donc je ferme mon PC, je reviens sur le site, il sait qui je suis (si la durée de vie du cookie est suffisante). Mais plus intéressant encore, j'ouvre un nouvelle fenêtre sur le même site pour consulter d'autres articles, il me reconnait et me permet d'accéder à mon panier sans me demander une nouvelle authentification (sauf à changer de navigateur puisqu'ils ne partagent pas leur cookies).

diaboliser les cookies est une connerie, les sites dont je ne voudrais pas qu'ils utilisent des cookies... JE N'Y VAIS PAS !

benwit
Rédacteur/Modérateur
le 09/03/2011

Je n'aimerai pas que mes propos soient mal interprétés.

Je ne diabolise pas les cookies, au contraire, je trouve qu'ils ont leur utilité (comme faire transiter l'id de session) mais il ne faut pas les utiliser de travers pour faire tout et n'importe quoi et obliger l'internaute à les activer.

Je dis juste qu'un site devrait fonctionner même sans cookie. Pour retrouver la session d'un utilisateur, le cookie de session a cet intérêt. Maintenant, si le site est bien fait, même en cas de cookie désactivé, l'id de session transite soit pas l'url, soit dans une entête http.

Pour ce qui est de la durée de vie, c'est plus lié à l'application. Est-ce qu'on veut que la session expire ? est-ce qu'on veut une authentification systématique ?

camus3
Membre expérimenté
le 09/03/2011

décision contraignante , démagogique et inapplicable.
Mais les fonctionnaires européens doivent donner l'impression qu'ils bossent ;-)

et pourquoi pas interdire les sessions coté serveur pendant qu'on y est ?

Les cookies ne sont pas offensifs par nature , ils peuvent être utilisé à bon ou mauvais escient.

Il faut rendre obligatoire le détail des informations conservées en local et à distance dans les CGU , pas de forcer la manière dont les sites internets fonctionnent.

Ca veut dire quoi ? qu'on pourra porter plainte pour un cookie non désiré ?

Encore une fois , les cookies sont en local , c'est à l'utilisateur de les interdire , filtrer , ou autre , et aux navigateurs de proposer des fonctions accessibles pour répondre à se problème.

10_GOTO_10
Membre émérite
le 09/03/2011

Citation:

Envoyé par benwit

Sans faille de sécurité, un site ne peut voir que ses cookies à lui et pas les autres.

Non, en fait ça dépend des options du navigateur. Sur IE, ils appellent ça les "cookies tierce parties", lesquels, avec le niveau de sécurité "normal" (niveau par défaut) sont autorisés.

Options internet > onglet confidentialité > bouton avancé

Un bon conseil : http://www.01net.com/contenu/2562/ta...sous-ie7-334-1

Moralité: après avoir dit que c'est la faute à l'utilisateur qui ne sait pas configurer son navigateur, il se peut que même certains informaticiens aguerris ne connaissent pas toutes les subtilités (je ne vise personne en particulier, vous avez peut-être Firefox).

erroneus
Membre du Club
le 09/03/2011

Citation:

Envoyé par 10_GOTO_10

Non, en fait ça dépend des options du navigateur. Sur IE, ils appellent ça les "cookies tierce parties", lesquels, avec le niveau de sécurité "normal" (niveau par défaut) sont autorisés.

Options internet > onglet confidentialité > bouton avancé

Un bon conseil : http://www.01net.com/contenu/2562/ta...sous-ie7-334-1

Moralité: après avoir dit que c'est la faute à l'utilisateur qui ne sait pas configurer son navigateur, il se peut que même certains informaticiens aguerris ne connaissent pas toutes les subtilités (je ne vise personne en particulier, vous avez peut-être Firefox).

J'ai regardé sous Firefox (Edit/Preferences/Privacy) et il est aussi possible d'interdire les "third-part cookies" (acceptés par défaut).

Pour ceux qui ont Firefox dans la langue d eMolière, ça doit être dans l'onglet "Outils".

Gp2mv3
Invité de passage
le 10/03/2011

Si on doit prévenir l'utilisateur de tous les cookies ils vont pas être bien content avec les cookies de session etc...

Paul TOTH
Expert Confirmé Sénior
le 10/03/2011

Citation:

Envoyé par 10_GOTO_10

Non, en fait ça dépend des options du navigateur. Sur IE, ils appellent ça les "cookies tierce parties", lesquels, avec le niveau de sécurité "normal" (niveau par défaut) sont autorisés.

Options internet > onglet confidentialité > bouton avancé

Un bon conseil : http://www.01net.com/contenu/2562/ta...sous-ie7-334-1

Moralité: après avoir dit que c'est la faute à l'utilisateur qui ne sait pas configurer son navigateur, il se peut que même certains informaticiens aguerris ne connaissent pas toutes les subtilités (je ne vise personne en particulier, vous avez peut-être Firefox).

"Les "cookies tierces" qui proviennent des publicités et des scripts insérés dans un site mais provenant d'autres sites (bannières, pop-up, fenêtres indésirables, etc.)"

donc que je suis sur developpez.com et que j'ai une bannière de pub sur http://adserver.adtech.de il faudrait considérer que les cookie de ce site sont potentiellement dangereux ?! c'est un peu n'importe quoi.

et il serait donc hasardeux de développer une application web multisite sous peine de voir une partie de celle-ci considérée comme de la pub.

erroneus
Membre du Club
le 10/03/2011

J'ai fait un test : depuis hier soir j'ai bloqué les cookies par défaut.

Il n'y a pas un seul site qui n'essaie pas de m'en fourger. À part ceux de session, j'ai laissé les autres bloqués sans que ça semble changer quoique ce soit.

D'où la question, et désolé d'insister, à quoi servent les cookies ? (Ce n'est pas une question rhétorique)

Bourgui
Membre expérimenté
le 10/03/2011

- Se souvenir de ta navigation (il suffit qu'il y ai un script google analytics / conversion ou autre pour que tu ai un cookie
- mettre des infos pratique pour ta navigation (par exemple ta dernière recherche sur sncf.com pour te préremplir les formulaire)
- Session

En plus tu va avoir les pubs google, facebook ... qui vont trafiquer dans les cookie, et de nos jours il y a très peu de site qui en sont pas connecté avec ces services la (un bouton "Like" facebook suffit)

Ibuprofène
Membre confirmé
le 10/03/2011

Citation:

Envoyé par erroneus

J'ai fait un test : depuis hier soir j'ai bloqué les cookies par défaut.

Il n'y a pas un seul site qui n'essaie pas de m'en fourger. À part ceux de session, j'ai laissé les autres bloqués sans que ça semble changer quoique ce soit.

D'où la question, et désolé d'insister, à quoi servent les cookies ? (Ce n'est pas une question rhétorique)

J'ai fais la même chose depuis quelque temps. Dans la plus grande majorité des cas, les cookies tierces parties sont la pour la pub, parfois des outils de stats. Les cookies interne peuvent être la pour se rappeler d'une session, pour des stats également, panier...

Quand tu parlais de toto.fr et tata.fr, il est bien possible que l'un utilise les cookie de l'autre, via une iframe comme cela a déjà été dit, mais aussi via les pixels espions

Paul TOTH
Expert Confirmé Sénior
le 10/03/2011

Citation:

Envoyé par erroneus

J'ai fait un test : depuis hier soir j'ai bloqué les cookies par défaut.

Il n'y a pas un seul site qui n'essaie pas de m'en fourger. À part ceux de session, j'ai laissé les autres bloqués sans que ça semble changer quoique ce soit.

D'où la question, et désolé d'insister, à quoi servent les cookies ? (Ce n'est pas une question rhétorique)

ça sert à ce que le développeur en fait !

par exemple, ne pas afficher deux fois un message de bienvenue, une pub, ...

à faire des statistiques de visite un peu moins fausses...

sans compter tous les sites PHP qui contiennent un session_start() sans que le site n'utilise la session

faudrait voir le nombre ce CMS qui font ça en mode consultation anonyme

Paul TOTH
Expert Confirmé Sénior
le 10/03/2011

Citation:

Envoyé par Ibuprofène

J'ai fais la même chose depuis quelque temps. Dans la plus grande majorité des cas, les cookies tierces parties sont la pour la pub, parfois des outils de stats. Les cookies interne peuvent être la pour se rappeler d'une session, pour des stats également, panier...

Quand tu parlais de toto.fr et tata.fr, il est bien possible que l'un utilise les cookie de l'autre, via une iframe comme cela a déjà été dit, mais aussi via les pixels espions

ben oui, sauf que ce n'est pas toto et tata mais un site de pub qu'utilisent toto et tata, donc forcément

sur A
http://lapub.net/jesuislesiteA
sur B
http://lapub.net/jesuislesiteB

comme c'est ton PC qui invoque les deux pubs et que ton cookie est transmis dans les deux cas, lapub.net sait que tu es sur les deux sites.

la parade étant évidemment de faire pointer dans son fichier host lapub.net sur 127.0.0.1

ProgVal
Membre chevronné
le 10/03/2011

Autant je suis pour l'interdiction des cookies inter-domaines, qui n'ont aucun
sens (et de toutes façons, on peut très bien faire sans, comme par exemple
GitHub qui arrive à propager les identifications à ses différents
sous-domaines), autant je trouve ça complètement stupide de demander
explicitement à l'utilisateur d'accepter les cookies.
Pensez-vous que Mme Michu sait ce qu'est un cookie, en dehors de l'image
diabolique que la télévision en fait ?

Citation:

Envoyé par Paul TOTH

alors il est possible de faire un site sans cookie même avec authentification...il "suffit" que chaque page ballade un paramètre ID.

Qui est facilement visible. Il suffit donc qu'un collègue passe derrière toi,
prenne discrètement une photo de ta barre URL (avec une netteté suffisante),
recopie l'ID dans son navigateur, et hop ! il a accès à ton compte.
Magnifique la sécurité !

EDIT: une autre idée, ça pourrait être de mettre un lien (par exemple ici),
vers mon site perso. Un admin de Développez clique sur mon lien, et là, j'ai
un joli HTTP-Referer avec son ID.

EDIT2: je rappelle qu'un User-Agent se change très facilement et n'est donc
pas fiable du tout, en plus du fait qu'il n'est pas unique.
Idem pour les IPs, on n'est pas protégé contre les personnes qui ont la même
que nous (collègues de travail, accès 3G, ...)

EDIT3: une solution, ça pourrait être de changer cet ID à chaque chargement
de page, mais il faut soit une base de données à l'épreuve d'une telle charge,
soit un bon cache

Citation:

Envoyé par benwit

Un site qui oblige les cookies n'est pas fait par des pros.

Citation:

Envoyé par Paul TOTH

sans compter tous les sites PHP qui contiennent un session_start() sans que le site n'utilise la session

faudrait voir le nombre ce CMS qui font ça en mode consultation anonyme

C'est ce que fait developpez.com

Paul TOTH
Expert Confirmé Sénior
le 11/03/2011

Citation:

Envoyé par ProgVal

Qui est facilement visible. Il suffit donc qu'un collègue passe derrière toi,
prenne discrètement une photo de ta barre URL (avec une netteté suffisante),
recopie l'ID dans son navigateur, et hop ! il a accès à ton compte.
Magnifique la sécurité !

EDIT: une autre idée, ça pourrait être de mettre un lien (par exemple ici),
vers mon site perso. Un admin de Développez clique sur mon lien, et là, j'ai
un joli HTTP-Referer avec son ID.

non tu peux très bien coller l'ID dans un champ hidden de la page HTML, à partir du moment ou les formulaires sont en POST rien n'est visible à l'écran...sauf à regarder le source évidemment

je sais pas, faudrait inventer un truc qu'on puisse mettre dans l'entête HTTP et qui soit retourné par le navigateur sans que ce soit lié au contenu de la page Web...ah ben tient ! ça s'appelle un Cookie !

ProgVal
Membre chevronné
le 11/03/2011

Citation:

Envoyé par Paul TOTH

non tu peux très bien coller l'ID dans un champ hidden de la page HTML, à partir du moment ou les formulaires sont en POST rien n'est visible à l'écran...sauf à regarder le source évidemment

Les champs hidden ne sont envoyés que lorsque l'on envoie un formulaire, mais pas quand on clique sur un lien. Un lien utilise la méthode GET (et par définition, les données d'un GET sont dans l'URL).

Citation:

Envoyé par Paul TOTH

je sais pas, faudrait inventer un truc qu'on puisse mettre dans l'entête HTTP et qui soit retourné par le navigateur sans que ce soit lié au contenu de la page Web...ah ben tient ! ça s'appelle un Cookie !

benwit
Rédacteur/Modérateur
le 11/03/2011

Citation:

Envoyé par ProgVal

Les champs hidden ne sont envoyés que lorsque l'on envoie un formulaire, mais pas quand on clique sur un lien. Un lien utilise la méthode GET (et par définition, les données d'un GET sont dans l'URL).

Pour être plus précis, les champs hidden sont envoyés avec le formulaire s'ils en font partis. On peut avoir des champs hidden hors formulaire.

Avec ou sans formulaire, l'envoi peut se faire en POST ou en GET, et effectivement, si c'est en GET, ça transite par l'URL.
On peut faire également des formulaires en GET ou des liens avec POST (en utilisant du javascript).

Si l'idée, c'est de cacher l'id, comme dit Paul, c'est justement l'objectif des cookies qui sont envoyés au serveur par les entêtes HTTP.

Je me répète mais les cookies sont utiles (principalement l'id de session ou des préférences utilisateurs) mais s'ils sont désactivés, grâce à la réécriture d'url et des préférences par défaut, le site devrait rester fonctionnel.

ProgVal
Membre chevronné
le 11/03/2011

Citation:

Envoyé par benwit

Pour être plus précis, les champs hidden sont envoyés avec le formulaire s'ils en font partis. On peut avoir des champs hidden hors formulaire.

Avec ou sans formulaire, l'envoi peut se faire en POST ou en GET, et effectivement, si c'est en GET, ça transite par l'URL.
On peut faire également des formulaires en GET ou des liens avec POST (en utilisant du javascript).

Ce que je voulais dire, c'est que les liens, c'est forcément du GET ; et c'est donc visible dans la barre d'adresse. Et je ne pense pas remplacer tous les liens par des formulaires/boutons soit une solution réaliste.

Citation:

Envoyé par benwit

Je me répète mais les cookies sont utiles (principalement l'id de session ou des préférences utilisateurs) mais s'ils sont désactivés, grâce à la réécriture d'url et des préférences par défaut, le site devrait rester fonctionnel.

Je me répète aussi, mais si on met l'ID de session dans l'URL, ça sera visible par quelqu'un qui peut voir notre écran, d'où un problème de sécurité.

benwit
Rédacteur/Modérateur
le 11/03/2011

Citation:

Envoyé par ProgVal

Je me répète aussi, mais si on met l'ID de session dans l'URL, ça sera visible par quelqu'un qui peut voir notre écran, d'où un problème de sécurité.

Sauf que, je ne sais pas si tu as déjà vu ?
Lorsque l'ID de session ne transite pas par cookie mais par l'URL, ce n'est pas un simple entier mais un code hexadécimal souvent imbuvable.

Alors, effectivement, si derrière toi, tu as un autiste, tu pourras te le faire piquer.

ProgVal
Membre chevronné
le 11/03/2011

Citation:

Envoyé par ProgVal

Qui est facilement visible. Il suffit donc qu'un collègue passe derrière toi,
prenne discrètement une photo de ta barre URL (avec une netteté suffisante),
recopie l'ID dans son navigateur, et hop ! il a accès à ton compte.
Magnifique la sécurité !

Certes, ça fait une protection contre un amateur sans trop de motivation, mais ça ne vaut rien contre une personne déterminée.

Bourgui
Membre expérimenté
le 11/03/2011

Paye ton cauchemar en maintenance si tu doit ajouter ton paramètre derrière tout tes liens ou dans tout tes formulaires (php4 fait ça par défaut).

Le gros problème des cookie c'est pas ceux que récolte un site : tu est sur un site pour profiter d'une applciation, d'un service donc le site utilise les moyen technique à sa disposition pour remplir ses objectifs et améliorer ta navigation, très bien.

Mais le pb c'est toutes les iframe de tracking qui apparaisse partout et permettent de créer des bdd qui pourrissent la vie privée ! Et les cookie facilite ce genre de pratique (google,facebook,bing vous colle un id et vous suit à la trace).

Imaginez si à chaque endroit ou vous aller,dans la rue, à l'épicier, chez un potes, dans un bar, aux putes, acheter de la drogue , chez les flics, en prison et ben Carrefour était mis au courant...