Thomas Frank a découvert un truc très pratique pour mettre en place des sessions Javascript. Ces sessions sont les mêmes que PHP, mais restent du coté du navigateur : cela permet de laisser des valeurs privées du coté du client, et d'éviter de les voir se balader sur le réseau.
Son astuce : prendre le champ de titre top.name, qui est généralement inusité par les navigateurs, pour stocker des informations. Cela permet de dépasser la limite de 4 x 20 ko des cookies, puisque ce champ n'a pas de limite (semble-t-il).
Autre avantage : ce champ reste valable durant la vie de la page. Aucun stockage sur le disque, et un nettoyage discret.
En termes de sécurité, ce petit script peut être redoutable : si les données sont valables durant la vie de la page, cela devient un vecteur pour transmettre des informations d'un domaine à l'autre : cela devient un buffer pour stocker une foule d'information (historique, log de clavier, etc), qu'il suffit de récupérer en fin de navigation. brr....
- Session variables without cookies
- Misterious Ghost Stories
Son astuce : prendre le champ de titre top.name, qui est généralement inusité par les navigateurs, pour stocker des informations. Cela permet de dépasser la limite de 4 x 20 ko des cookies, puisque ce champ n'a pas de limite (semble-t-il).
Autre avantage : ce champ reste valable durant la vie de la page. Aucun stockage sur le disque, et un nettoyage discret.
En termes de sécurité, ce petit script peut être redoutable : si les données sont valables durant la vie de la page, cela devient un vecteur pour transmettre des informations d'un domaine à l'autre : cela devient un buffer pour stocker une foule d'information (historique, log de clavier, etc), qu'il suffit de récupérer en fin de navigation. brr....
- Session variables without cookies
- Misterious Ghost Stories
-
Auteur
-
Origine
