Envoyé par
Abogil
C'est du foutage de gueule de la part d'AOL.
AOL est le seul hébergeur ADSL qui utilise ce système de gestion et qui dise aux hébergeurs de site Internet : Je suis hors la loi, débrouillez vous tout seul.
Pas vraiment, c'est plutôt du "foutage de gueule" (selon ton expression) de ta part, et j'espère que tu n'as pas de diplôme en informatique de l'enseignement supérieur français vu ton niveau de connaissances en réseau...
1) faire dépendre l'état de session HTTP (couche 5 du modèle OSI, applicative et au-delà) de l'adresse IP source de la connexion (couche 3 du modèle OSI, réseau) est une violation du principe fondamental d'indépendance des couches du modèle OSI.
C'est la raison pour laquelle faire dépendre la session HTTP d'un cookie ou d'un session-ID intégré à l'URL est de toute façon une méthode préférable car plus conforme à la théorie.
La "théorie" indique donc que faire dépendre la session web de l'adresse IP du client n'est pas une bonne idée, et donc ne devrait pas fonctionner "à tous les coups"... la pratique confirme la théorie, pour une fois.
2) ce problème n'est pas spécifique à AOL --
on le retrouve avec toute (grande) entreprise qui n'offre à ses employés qu'un accès à Internet via une batterie de serveurs proxy/cache HTTP.
D'ailleurs on avait quelqu'un qui évoquait précisément ce problème lorsqu'il se connectait depuis les proxys de son entreprise sur ce forum.
http://www.webmaster-hub.com/index.p...dpost&p=168473
j'ai un script qui me permet de controler les sessions des utilisateurs qui visitent mes sites. Je me base sur un certain nombe de paramètres pour valider que la session est bien celle de l'utilisateur. Un de ces paramètres est l'adresse IP du client. Si cette adresse IP change pour une même session, je considère qu'il y a tentative de vol de session et je réinitialise la session.
Mon problème est le suivant: quand on se trouve derrière un proxy pour se connecter au net (le cas en général dans une entreprise), ce proxy peut utiliser du laod balancing avec plusieurs IP (donc plusieurs machine) pour se connecter au net. Du coup l'adresse IP du client peut changer... Mon système d'identification réinitialise alors les sessions... Donc pas top, on est connecté dans la zone privée et 30s plus tard on se fait jeter.
3) le protocole HTTP, dès son invention il y a environ 15 ans, a prévu la possibilité et l'emploi de proxy/cache HTTP qui servent d'intermédiaires entre les utilisateurs finaux et les serveurs web.
Leur protocole et leur comportement est complètement prévu et normalisé (en particulier dans la norme HTTP/1.1) et il n'y a absolument rien dans le fonctionnement d'une grappe de serveurs proxy en parallèle (telle qu'AOL ou certaines entreprises la mettent en oeuvre) qui constitue une violation de la norme HTTP/1.1.
Il n'y a donc absolument rien qui soit "hors la loi", contrairement à ce que tu avances.
(merci de m'indiquer le paragraphe de la
norme HTTP/1.1 qu'AOL violerait, selon toi... histoire qu'on rigole)
Bref, le vrai problème est toujours le même...
Des développeurs web à l'horizon limité à une seule plateforme et une seule architecture qui développent une application, qui fonctionne pour 90% ou 95% des cas, et qui tentent de rejeter le blâme (dû à leur manque d'expérience) sur les 5% qui restent...
Pourquoi s'emm**der à développer des applications portables puisque 98% des gens utilisent Windows ?
On n'a qu'à indiquer aux 2% restants de changer de système d'exploitation...
Pourquoi s'emm**der à développer des applications compatibles Firefox/Safari/Opera respectant les standards du web puisque 90% ou 95% des gens utilisent Internet Explorer ?
Il n'y a qu'à utiliser mod_rewrite, comme suggéré par Yggdrasil,
pour rediriger automatiquement depuis son site web tout autre navigateur web sur
www.microsoft.com/ie
Pourquoi s'emm**der à développer des applications respectant la norme HTTP/1.1 puisque 95% des gens utilisent une architecture triviale, avec le navigateur web (client HTTP) qui se connecte directement à mon serveur HTTP ?
Tant pis pour les 5% restants qui passent par un proxy/cache HTTP/1.1 intermédiaire, ils n'ont qu'à changer de FAI ou d'entreprise après tout...
Le plus risible dans cette histoire est qu'il n'y a rien à développer pour être compatible avec des clients web qui se connectent via des proxy/cache HTTP intermédiaires...
Il suffit, comme indiqué dans la note technique AOL, de configurer son serveur d'applications (PHP ici) pour qu'il n'utilise pas l'adresse IP du client web, mais plutôt les cookies.
C'est juste une préférence du moteur PHP (ou de n'importe quel autre serveur d'applications), et il suffit de le savoir pour la positionner, une fois pour toutes, à la bonne valeur. Ca suffit pour rendre compatible (avec AOL ou des proxys d'entreprise) les sites web hébergés sur des
serveurs dédiés par exemple.
Par contre, comme l'indique la note technique, il faut s'assurer qu'il n'y a pas en amont des serveurs web un "load balancer" qui ferait du partage de charge d'après l'adresse IP du client...
Je suppose qu'OVH n'a pas qu'un seul serveur web hébergeant TOUS les sites sur un "90plan" par exemple.
90plan.ovh.net pointe vers une seule adresse IP: 213.186.33.2
C'est très probablement une adresse IP virtuelle avec derrière une batterie de machines, donc il y a probablement un répartiteur de charge sur cette adresse IP virtuelle: si c'est le cas, il est probable que le problème est dans la configuration de ce répartiteur de charge OVH, et il faut s'assurer (comme indiqué dans la note technique) que la répartition de charge ne se fait pas en fonction de l'adresse IP du client web, ce qui causerait les pertes de sessions sur serveurs mutualisés dont vous parlez -- même si leur moteur PHP est correctement configuré pour faire dépendre les sessions des cookies HTTP (et pas de l'adresse IP qui se connecte).
[Je passe sur le côté complètement ridicule du "je suis hors la loi", quand on connaît le modèle OSI et le protocole HTTP/1.1 et qu'on s'aperçoit que le fonctionnement de ces proxys est absolument conforme aux normes -- c'est le même problème d'inculture informatique et de dialogue de sourds que lorsqu'on tente d'expliquer la compatibilité Mozilla Firefox aux développeurs qui ne connaissent qu'Internet Explorer]