Bonjour à tous,
 
j'ai un soucis : mes sessions sont perdues avec le navigateur AOL (8.0 ou 9.0).
 
j'ai beaucoup cherché sans trouver de réponse ouverte.
par contre je suis tombé sur les explications d'AOL himself : http://webmaster.aol.fr/sessions.html...
 
le problème est le suivant : avec les répartiteurs de charge (load balancers qui équivalent à un proxy changeant l'adresse IP à chaque page) le numéro de session ne peut pas être retrouvé (puisqu'il est construit à partir de l'IP qui change).
 
la solution : définir soit même l'ID de session sans se servir de l'IP (puisqu'elle change de page en page). Et enregistrer cette ID manuelle dans un cookie.
 
ma mise en oeuvre : remplacer un simple session_start() par ça :

if (!isset($_COOKIE['idSession'])) {
    //
    // Si cookie d'ID absent -> nouvelle ID de session
    //
    srand ((float) microtime() * 9999999) ;
    $user_ip = rand(0,9999999) ;
    $idSession = md5($user_ip.time()) ;
} else {
    //
    // Sinon récupère l'ID de session dans le cookie
    //
    $idSession = $_COOKIE['idSession'] ;
}
//
// démarrage/reprise de la session
//
session_name("maSession" ) ;
session_id($idSession) ;
session_start() ;
//
// (re)écriture du cookie d'id session (pour étendre sa durée de vie)
//
setcookie("maSession", $idSession, (time()+12800), "/", ".monDomaine.com", 0) ;

 
Hé bin ça marche pas !    
 
Pourtant, j'ai regardé et les cookies de session ont bien le même identifiant, même quand mon panier se vide / rerempli au hasard des load balancer....
 
Alors si quelqu'un à une idée... je suis preneur
 
Merci d'avance.
Cordialement, Giboo.

Banni AOL. Adopte Firefox et tu veras la vie en rose
 
PS : Une ip ne peut pas changer de page en page lol ou alors t'es souvent déconnecté

if (!isset($_COOKIE['idSession'])) {
    //
    // Si cookie d'ID absent -> nouvelle ID de session
    //
    srand ((float) microtime() * 9999999) ;
    $user_ip = rand(0,9999999) ;
    $idSession = md5($user_ip.time()) ;
} else {
    //
    // Sinon récupère l'ID de session dans le cookie
    //
    $idSession = $_COOKIE['idSession'] ;
}
//
// démarrage/reprise de la session
//
session_name("maSession" ) ;
session_id($idSession) ;
session_start() ;
//
// (re)écriture du cookie d'id session (pour étendre sa durée de vie)
//
setcookie("maSession", $idSession, (time()+12800), "/", ".monDomaine.com", 0) ;

 
Un peu de patience, je suis justement en train de terminer mon système perso de sessions que je vais rendre public ici dans maximum 24/48 heures.    

 
Ce que j'ai compris, c'est qu'il veut créer des sites compatibles avec le navigateur d'AOL. Si ça se trouve il a un client à la con qui refuse de surfer sur autre chose. ça c'est déjà vu.  

Si si l ip peut changer de page en page selon ce que les proxy décident de faire. Je parle juste de possibilité ( je connais pas AOL mais leur réputation est plus que mauvaise dans le monde des webmasters ).
 
Dans ton cas la solution la plus simple est le cookie.
 
Voici un algo exemple:
 
1) l utilisateur arrive sur ton site
2) tu lui met un cookie avec des valeurs uniques
3) l utilisateur revient avec une ip differente ( son id n est plus valable)
4) tu lis le cookie et l id qui va avec
5) tu cherches dans table de hash cet identifiant
6) tu lui reassignes la session correcte
 
Certains diront que transmettre un id de session dans un cookie est de la folie. Si tu es parmi eux alors soit tu crypte, soit tu utilises un token.
 
Il faut que tu cree ton propre session handler.
 
bon courage
 
PS: Si j etais toi je laisserais tomber AOL et les utilisateurs qui vont avec.

 
C'est plutôt le mettre dans l'adresse qui comporte plus de risque, mais bon... De toutes manières, aucun système de session n'est infaillible à partir du moment où on peut de toutes manières passer derrière qqu et chopper son identifiant de session si on a la main sur le poste régulièrement et la possibilité de sauvegarder les cookies, ou les adresses.
 
C'est aux utilisateurs de se déconnecter. Le problème n°1, c'est les utilisateurs qui oublient de fermetr la session dans les café internet ou chez un pote.
 
NB : crypter l'ID de session ne servira strictement à rien. (suffit de réfléchir deux secondes pour s'en convaincre).

Oui j avoue aucune fonctions bijectives ne sécurise un id de session à partir du moment ou tu stockes chez l'utilisateur.
 
Je me rappelle d'un webmaster qui mettait une penalité aux utilisateurs qui ne fermait pas leurs sessions correctement.
En gros impossible de se reconnecter pour un temps arbitraire.
 
Comment vont le prendre les utilisateurs ?  
 
Perso je pense que le problème vient des innombrables script PHP pret à installer. Mais en meme temps cela protege les codes persos :s
 
Jusqu'a preuve du contraire , je pense que travailler avec les cookies client est une mauvaise méthode.  
OK Ebay et ci tournent avec les cookie, chacuns ses choix.
 
Maintenant fermer un onglet de firefox ne detruit pas le cookie serveur, cool firefox non ?
 
 
Le pauvre utilisateur AOL est damné ( au passage )