L'identifiant de sessions dans l'url = pb référencement

[thierry8]

Hello,

Je sais qu'il ne faut pas passer l'identifiant de session par l'url, mais...:

Sur mon serveur actuel j'ai ceci pour les sessions:

session.auto_start Off Off
session.bug_compat_42 On On
session.bug_compat_warn On On
session.cache_expire 180 180
session.cache_limiter nocache nocache
session.cookie_domain no value no value
session.cookie_lifetime 0 0
session.cookie_path / /
session.cookie_secure Off Off
session.entropy_file no value no value
session.entropy_length 0 0
session.gc_divisor 100 100
session.gc_maxlifetime 1440 1440
session.gc_probability 0 0
session.name PHPSESSID PHPSESSID
session.referer_check no value no value
session.save_handler files files
session.save_path /var/lib/php4 /var/lib/php4
session.serialize_handler php php
session.use_cookies On On
session.use_only_cookies Off Off
session.use_trans_sid Off Off

Le plus interessant est donc:

session.use_only_cookies Off Off
session.use_trans_sid Off Off

Ils sont tous deux à Off...
Donc logiquement lorsque l'on fait un session_start() et que le client accepte les cookies, pas de soucis...
Mais si le client n'accepte pas les cookies, le SID devrait être dans l'url...
Et bien NON... sur deux tests, aucun ne me met le sid dans l'url..(désactivé les cookies sur Firefox) donc la session n'est pas utilisable, résultat escompté...

C'est la réaction que je souhaitait mais cela me semble bizarre au vu de la configuration, sans compter que je n'ai rien m'y dessus pour marquer la transparence. (d'ailleurs je ne retrouve plus ce qu'il faut normalement mettre, si vous pouviez me l'indiquer à nouveau)

Pouvez vous m'expliquer ?
Les robots auront-ils le sid ou pas au final ?

merci, parce que j'avoue être dans les vapes là et ne pas maîtriser le truc..

[thierry8]

Bon j'ai mené ma petite enquête, je pense que cela servira à bien d'autres au vu du peu de réponse.

session.use_trans_sid boolean

Spécifie si le support du SID est transparent ou pas. Par défaut vaut 0 (désactivé).

Note : En PHP 4.1.2 ou plus ancien, cette option est activée en utilisant l'option de compilation --enable-trans-sid. Depuis PHP 4.2.0, cette option est toujours activée.

Le système de gestion des sessions par URL pose un risque supplémentaire de sécurité : un utilisateur peut envoyer son URL avec l'identifiant de session par email à un ami, ou bien le mettre dans ses signets. Cela diffusera alors l'identifiant de session.

source: http://fr2.php.net/manual/fr/ref.session.php

--enable-trans-sid

Active la propagation transparente de l'identifiant de session. Seulement valable pour PHP 4.1.2 et antérieures. À partir de PHP 4.2.0, cette fonctionnalité est toujours compilée.

source: http://fr2.php.net/manual/fr/configure. ... -trans-sid

[AW]

Le sujet est pourtant intéressant,

J'ai dans mes tags cette page (auquel tu as participé) :
http://www.webrankinfo.com/forums/viewtopic_48312.htm