Ça ne me semble pas une bonne idée du tout que de vouloir mettre cet identifiant de session dans une URL. L'URL est quand même une donnée destinée à être publique.
Par exemple, l'utilisateur ne doit pas oublié d'enlever cet identifiant quand il partage une URL avec d'autres utilisateurs. Utiliser HTTPS n'aide en rien dans ce cas.
Plus vicieux, l'URL peut se retrouver dans les fichiers de logs, que ce soient ceux de proxys ou d'autres serveurs via le mécanisme du Referer. Et là, HTTPS a une légère influence (la RFC dit : « Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol »).
[^] # Re: ...
Posté par Bruno Michel (site web personnel) . En réponse à la dépêche Firesheep. Évalué à 3.
Par exemple, l'utilisateur ne doit pas oublié d'enlever cet identifiant quand il partage une URL avec d'autres utilisateurs. Utiliser HTTPS n'aide en rien dans ce cas.
Plus vicieux, l'URL peut se retrouver dans les fichiers de logs, que ce soient ceux de proxys ou d'autres serveurs via le mécanisme du Referer. Et là, HTTPS a une légère influence (la RFC dit : « Clients SHOULD NOT include a Referer header field in a (non-secure) HTTP request if the referring page was transferred with a secure protocol »).