"Arkadaş" üçüncü parti çerezleri okuma herhangi bir vasıta

5 Cevap php

A recent question bana bu bir tane göndermek yaptı.

Ben bazı çok basit bir kullanıcı girişi sahip web sayfalarının bir dizi üzerinde çalışıyor, ve bir tanımlama kullanıcı kimliği saklamak ediyorum. Kullanıcının yüzünden ben hiçe hiçbir konumda değilim bazı kararlar, sayfaları birkaç alternatif alan adlarını kullanmak diyelim. Yani, giriş sayfası bir etki alanı adını kullanır ve kullanıcı oturum olup olmadığını doğrulamak gerekir sayfa başka bir etki olabilir. Tabii ki, çoğu tarayıcılarda, üçüncü parti çerezleri devre dışı bırakılır, böylece tüm olası etki için kimliği çerezleri ayarlaması söz konusu değildir. AFAIK, tarayıcı ne sunucuya üçüncü parti çerezleri gönderir, ne de javascript erişilebilir beri erişim, düpedüz imkansız okuyun.

Dışında ortak bir alan adı için tüm sayfa istekleri yönlendirerek bir çözüm farkında birisi midir? Sunucu ve istemci tarafında hem de çözüm bekliyoruz.

Update 1: I workaround, ben mutlaka kurabiye zorlanarak herhangi bir araç anlamına gelmez derken. Çözümler replacing çerez tabanlı kimlik doğrulaması da if onlar yeterince basit, kabul edilir.

Update 2: etki aynı hiyerarşi içinde not, ama aynı IP adresine hepsi haritası.

5 Cevap

Ben tüm siteler erişebilirsiniz ortak bir veritabanı oluşturarak, bir sunucu tarafı çözümü bakmak istiyorum. Kullanıcı oturum açtığında, siteden siteye GET veya POST olarak geçirilen bir zaman duyarlı, IP-anahtarlı belirteç oluşturmak. Ardından, jeton, IP ve zamanında her isteği doğrulamak. Üç kombinasyonu en çok güvenlik kaygılarını gidermek olacaktır.

Eğer aynı IP adresi ile çerez kullanabilirsiniz, ancak daha sonra etki herhangi bir şekilde kullanılmayacaktır.

Yok bir geçici çözüm olmamalıdır. Her çözüm bir bug olarak (ya da daha doğru bir security issue) olacaktır

Orada: veya daha iyi - etki vardır (example.com ve bar.example.com aynı ikinci düzey etki alanına sahip foo.example.com gibi) daha yüksek bir düzey etki alanını paylaşmak yoksa should olacak - Çerezleri paylaşımı yolu yok.

Eğer belirtildiği gibi, çapraz-etki ajax veya çerez ayarı herhangi bir sıralama yapmak mümkün olacak değiliz. Bunu yapmak için en kolay yolu, farklı etki URL veya POST vücutta sonraki URL geçen veri (veya bir form göndermek) yönlendirme var olacaktır.

Bunu da ancak bu kadar ayarlamak için biraz daha karmaşık olduğunu ve bazı güvenlik etkileri vardır, üçüncü taraf etki isteklerini yapmak için bir sunucu tarafı proxy ayarlayabilirsiniz.

etiketler