Tout d'abord, merci pour les commentaires.
Le Tue, 21 Feb 2012 01:47:05 +0100, SAM
<stephanemor...@wanadoo.fr.invalid> écrivait dans
fr.comp.infosystemes.www.auteurs:
>Le 21/02/12 00:51, Denis Beauregard a écrit :
>> Le Mon, 20 Feb 2012 18:28:59 +0100, SAM
>> <stephanemor...@wanadoo.fr.invalid> écrivait dans
>> fr.comp.infosystemes.www.auteurs:
>>
>> m'assurer que le mot de passe n'est pas récupérable par l'historique
>> du navigateur.
>
>Je n'en sais rien mais j'ai comme l'impression que les navigateurs du
>jour savent très bien "oublier" les MdP, que l'on ne les reverra pas par
>l'historique
Mon expérience me dit le contraire, mais sur des navigateurs d'au
moins 5 ans. Comme une partie de ma clientèle cible pourrait
utiliser des vieux PC (je connais une bibliothèque spécialisée dont
la moitié des PC est en Windows 98, ceci en 2012), j'aime mieux
savoir d'avance ce que font les autres.
>>> démo :
>>> <
http://stephane.moriaux.pagesperso-orange.fr/truc/formform>
>>
>> Euh, avec SM 2.7.2, on a le comportement suivant :
>>
>> mot de passe saisi
>> bouton envoyer
>> mot de passe affiché
>
>oui, car là c'est ce que fait le fichier-moteur qui "analyse" le
>formulaire : afficher les champs (leurs noms et valeurs) transmis
>
>> flèche gauche du navigateur, champ vide
>
>voilà, on revient sur le fichier d'envoi
>... qui a "oublié" le MdP
>
>> flèche droite du navigateur, le mot de passe est affiché
>
>en effet : on revient sur le fichier d'affichage
>(qui se moque de savoir si c'est un MdP ou pas)
Le site de ma banque invalide la session quand on fait la flèche
à gauche. Avec la flèche à droite, la session n'est plus valide.
En fait, cela se fait en javascript. Il y a d'abord un message
pour confirmer que l'on veut vraiment quitter la page de cette
façon, puis un message disant que le document est expiré. Et si
on fait la flèche à droite, la session n'est plus active. À mon
avis, c'est un bon système pour la flèche à gauche, mieux que
celui de Paypal (ce qui me surprend).
>> Essai sur paypal avec Seamonkey
>> saisie du mot de passe
>> arrivée sur le site
>
>heu ... là ... il n'a pas voulu le faire comme ça, j'ai dû cliquer le
>lien de rafraichissement
>
>> flèche gauche - le document est expiré et ce n'est pas la même page
>
>c'est une page (de PayPal) ?
>ou bien une page servie par le logiciel ?
>
>> :: donc, on a une page intermédiaire
>
>on ne sait d'où elle sort
>
>Mon Fx me dit :
>« Le document demandé n'est plus disponible dans le cache de Firefox. »
>Manifestement ... c'est un affichage propre à Fx
>
>Il devait il y avoir un timeOut dans les metas et/ou en-têtes ...
Oui, c'est une méthode possible.
>> mais flèche gauche de nouveau, et la page interne est active (j'ai
>> cliqué sur un lien)
>
>Là j'ai rien compris
>... moi je reviens sur la page où je peux tenter de me connecter.
>La page interne je la ré-obtiens par le bouton-flèche-droite.
Avec Seamonkey sur Windows 7, la session n'a pas été terminée par le
retour en arrière. Je peux donc voir le contenu de mon compte Paypal.
Avec le site de ma banque, la session serait terminée et je ne
pourrais rien voir du contenu interne de mon compte.
>> donc, ce n'est pas parfait (l'utilisateur a l'impression que la
>> session a été expirée, ce qui est faux)
>
>Oui, peut-être bien ...
>
>> Essai sur Google
>> flèches gauche et droite - un peu différent mais la session est
>
>pas compris de quelle "session" tu parles chez Google ...
Pour les services internes de Google, comme gmail, adsense, etc.
Google offre un grand nombre de service, comme Yahoo et d'autres
sites du genre, et plusieurs demandent une inscription (il y a un
lien "Connexion").
>> conservée. Page de redirection (on voit un "loading" quelques
>> secondes).
>>
>>
>> En général, donc, entre la saisie et l'affichage, il y a une page
>> intermédiaire.
>
>Oui, puisqu'on passe de http en https, mais ...
> pas que - pas que !
>pour PayPal, tout un tas de cookies en plus comme celui "login-email"
>par exemple qui semble conservé la semaine.
>D'autres, juste le temps de la session
Le cookie doit jouer le même rôle que mon compteur : prouver que l'on
a déjà envoyé le mot de passe et donc que le mot de passe doit être
effacé (et pas seulement caché) et la session désactivée.
Denis