nicht angemeldet
Cookie für 2 Domains auf gleichem Account
0 0 0 0 0 0 0 0 genauer
Cookie für 2 Domains auf gleichem Account
Hallo
Ich habe auf meinem Server 2 Domains, welche beide auf den gleichen Account "zeigen". (eine als "Stammdomain", die andere als Alias).
Bei der Eingabe beider Domains wird dementsprechend das selbe Perl-Script ausgeführt. Nur wird einfach je nach Domaineingabe eine andere Seite erzeugt. Soweit so gut...
Nun habe benutze ich aber ein Cookie, damit sich User auf der Seite anmelden können. Leider scheint das Cookie nur jeweils für eine der beiden Domains zu gelten. Sobald ich die jeweils andere Domain verwende, muss ich mich auch dort einloggen.
Ist es möglich, dass wenn sich ein User auf der einen Domain anmeldet, das gespeicherte Cookie auch für die andere Domain gilt?
Ich hoffe, ihr könnt mir da weiterhelfen...
Schöne Grüsse
Jonas
-
Hallo Jonas.
Ist es möglich, dass wenn sich ein User auf der einen Domain anmeldet, das gespeicherte Cookie auch für die andere Domain gilt?
Benutze das Modul CGI::Cookies:
http://www.perldoc.com/perl5.8.4/lib/CGI/Cookie.htmlDamit sollte dein Problem keines mehr sein.
Freundschaft!
Siechfred--
Punk's not dead: http://www.siechfreds-welt.de/badreligion.shtml-
Hallo,
Ist es möglich, dass wenn sich ein User auf der einen Domain anmeldet, das gespeicherte Cookie auch für die andere Domain gilt?
Benutze das Modul CGI::Cookies:
http://www.perldoc.com/perl5.8.4/lib/CGI/Cookie.htmlDamit sollte dein Problem keines mehr sein.
doch, denn das geht so nicht!
Aus Sicherheitsgründen kann Domain_2 nicht die Cookies von Domain_1 auslesen. Ich habe die Frage jedenfalls so verstanden.Einzige Möglichkeit wäre, daß auch wenn der User sich auf Domain_1 befindet der Cookie von Domain_2 (also zentral von einer Domain) verwaltet wird.
Gruß
Reiner-
Aus Sicherheitsgründen kann Domain_2 nicht die Cookies von Domain_1 auslesen. Ich habe die Frage jedenfalls so verstanden.
Einzige Möglichkeit wäre, daß auch wenn der User sich auf Domain_1 befindet der Cookie von Domain_2 (also zentral von einer Domain) verwaltet wird.
Genau das ist mein Problem!
Aber wie bringe ich das hin?!?
-
Hi,
Aus Sicherheitsgründen kann Domain_2 nicht die Cookies von Domain_1 auslesen. Ich habe die Frage jedenfalls so verstanden.
Einzige Möglichkeit wäre, daß auch wenn der User sich auf Domain_1 befindet der Cookie von Domain_2 (also zentral von einer Domain) verwaltet wird.Das scheitert daran, daß das Cookie eben nicht serverseitig gespeichert wird, sondern clientseitig im Browser.
Und den kann man nicht dazu überreden, das Cookie von Domain 1 bei Requests auf Domain 2 mitzuschicken. Eben aus Sicherheitsgründen.Ausnahme: es handelt sich um subdomains unter derselben Domain, also z.B. www.example.org und www2.example.org - dann klappt es u.U., wenn als Cookie-Pfad .example.org angegeben wird.
Aber wie bringe ich das hin?!?
AFAIK gar nicht.
cu,
Andreas--
MudGuard? Siehe http://www.Mud-Guard.de/
Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.-
Hi,
Aber wie bringe ich das hin?!?
AFAIK gar nicht.
doch, lasse auf Domain_1 einen Pixel von Domain_2 aufrufen.
Dahinter ein Script, das den Cookie ausliest.Gruß
Reiner-
Hi,
doch, lasse auf Domain_1 einen Pixel von Domain_2 aufrufen.
Dahinter ein Script, das den Cookie ausliest.Der Browser wird dabei aber den für Domain 1 gesetzten Cookie nicht an die Domain 2 senden.
cu,
Andreas--
MudGuard? Siehe http://www.Mud-Guard.de/
Fachfragen per E-Mail halte ich für unverschämt und werde entsprechende E-Mails nicht beantworten. Für Fachfragen ist das Forum da.-
Hi,
doch, lasse auf Domain_1 einen Pixel von Domain_2 aufrufen.
Dahinter ein Script, das den Cookie ausliest.Der Browser wird dabei aber den für Domain 1 gesetzten Cookie nicht an die Domain 2 senden.
doch!
Das kann ich Dir sogar beweisen!Gruß
Reiner-
Hi,
doch, lasse auf Domain_1 einen Pixel von Domain_2 aufrufen.
Dahinter ein Script, das den Cookie ausliest.Der Browser wird dabei aber den für Domain 1 gesetzten Cookie nicht an die Domain 2 senden.
doch!
Das kann ich Dir sogar beweisen!aeh, Du hast Recht. Natürlich nicht, das hatten wir auch schon.
Aber das ist ja gerade der "Trick":
Du verwaltest für beide Server/Domänen die Cookies zentral auf einem Server/Domain.Gruß
Reiner-
Moin!
Der Browser wird dabei aber den für Domain 1 gesetzten Cookie nicht an die Domain 2 senden.
doch!
Das kann ich Dir sogar beweisen!aeh, Du hast Recht. Natürlich nicht, das hatten wir auch schon.
Aber das ist ja gerade der "Trick":
Du verwaltest für beide Server/Domänen die Cookies zentral auf einem Server/Domain.Cookies werden nicht auf Servern verwaltet, sondern im Browser!
Und selbst mit dem 1-Pixel-Bild wirst du den Cookie von der Pixeldomain niemals an das Skript zur Generierung dynamischer Webseiten der anderen Domain übertragen können (auch nicht durch die Hintertür serverintern), weil es sich dabei um zwei komplett voneinander unabhängige Requests handelt.
Das ist gerade für die hier gewünschte Anwendung als Authorisierung (vgl. Ausgangsposting) absolut unsicher!
- Sven Rautenberg
-
Cookies werden nicht auf Servern verwaltet, sondern im Browser!
das weiß ich.
Und selbst mit dem 1-Pixel-Bild wirst du den Cookie von der Pixeldomain niemals an das Skript zur Generierung dynamischer Webseiten der anderen Domain übertragen können (auch nicht durch die Hintertür serverintern), weil es sich dabei um zwei komplett voneinander unabhängige Requests handelt.
So habe ich das auch nicht beschrieben.
Also nochmal. Was funktioniert ist, daß Du auf Domain_1 einen Pixel von Domain_2 referenzierst/verlinkst. Dieser liest einen Cookie aus (, der von Domain_2 stammt->natürlich).
Was damit Domain_1 anfangen kann: erstmal nichts, aber Domain_1 "könnte" ein "okay" an ein Script von Domain_1 senden.Das ist gerade für die hier gewünschte Anwendung als Authorisierung (vgl. Ausgangsposting) absolut unsicher!
- Sven Rautenberg
Was ist daran unsicher?
Wenn ich die Kontrolle über beide Domains habe, kann ich das auch sicher handhaben. Wer die Authentifikationskontrolle macht, ist doch egal.Gruß
Reiner-
hi,
Also nochmal. Was funktioniert ist, daß Du auf Domain_1 einen Pixel von Domain_2 referenzierst/verlinkst. Dieser liest einen Cookie aus (, der von Domain_2 stammt->natürlich).
Was damit Domain_1 anfangen kann: erstmal nichts, aber Domain_1 "könnte" ein "okay" an ein Script von Domain_1 senden.wo bei das "senden" auch nur durch serverseitige zwischenspeicherung, z.b. in einer datenbank oder textdatei, auf die beide zugriff haben, funktionieren wird.
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."-
Hallo wahsaga,
Also nochmal. Was funktioniert ist, daß Du auf Domain_1 einen Pixel von Domain_2 referenzierst/verlinkst. Dieser liest einen Cookie aus (, der von Domain_2 stammt->natürlich).
Was damit Domain_1 anfangen kann: erstmal nichts, aber Domain_1 "könnte" ein "okay" an ein Script von Domain_1 senden.wo bei das "senden" auch nur durch serverseitige zwischenspeicherung, z.b. in einer datenbank oder textdatei, auf die beide zugriff haben, funktionieren wird.
nicht unbedingt.
Dem "Pixel" müßte ein Parameter beigeliefert werden, wo drin steht, was Domain_1 über den "User" weiß. Domain_2 verifiziert seine Kenntnisse und sendet die Daten plus den von Domain_1 (u.U. verschlüsselt) den Daten von Domain_1 zurück.Dadurch hast Du - je nachdem, wie Du das machst bzw. was Du brauchst - sogar den Cookie von Domain_2.
Bei einem Bild ist das erstmal schwierig, weil danach keine weitere Aktion erfolgt. Aber an einer anderen Stelle könnte Domain_1 abfragen, was Domain_2 concatiniert hat.Wenn es um einen Zugangsschutz gehen soll (über Cookie, ob das sicher ist, ist eine andere Frage), so könnte man Domain_2 (von N) als Zentralrechner betrachten, der Cookies prüft und bei Erfolg auf den User auf eine Adresse des anfragenden Servers zurückschickt.
Im Fehlerfall schickt er den User woanders hin.Ähnliche Dinge, wenn auch nicht über Cookie, machen auch Anbieter für Micropayment (siehe http://www.paybest.de)
Viele Grüße,
Reiner-
hi,
Dem "Pixel" müßte ein Parameter beigeliefert werden, wo drin steht, was Domain_1 über den "User" weiß.
klar, kein problem.
Domain_2 verifiziert seine Kenntnisse und sendet die Daten plus den von Domain_1 (u.U. verschlüsselt) den Daten von Domain_1 zurück.
das "senden" ist hier aber das problem, auf das ich ja auch gerade schon hinweisen wollte.
_wie_ "sendest" du denn die daten "zwischen" den domains hin und her?
die einzigen möglichkeiten, die ich sehe, sind die bereits genannten - also "pixel von domain2" startet ein script unter domain2, das die übergebenen daten in ein flatfile oder DB ablegt, und die scripte unter domain1 können sie von dort wieder auslesen.
und ggf. schreiben sie auch wieder was zurück, was domain2 dann wiederum auslesen kann.aber andere praktikable möglichkeiten der datenübergabe _von_ domain2 _an_ domain1 sehe ich gerade nicht.
(die andere richtung geht ja dann wieder wie oben von dir beschrieben, domain1 bindet in der erzeugten HTML-ausgabe den pixel von domain2 mit verändertem parameter erneut ein.)
gruß,
wahsaga--
"Look, that's why there's rules, understand? So that you _think_ before you break 'em."-
HI
Also, erstmals DANKE für all eure Beiträge!
Das mit dem "Pixel" sehe ich doch als mögliche Lösung an. Doch gerade jetzt kam mir folgende Idee:
Wenn ich beim Login mittels Domain_1 ein perl Script von Domain_2 mittels SSI in die Ausgabe des Scripts von Domain_1 einfüge, kann dann das Script von Domain_2, welches über SSI eingebungen ist, nicht auch auf die POST Variablen mit den Login-Daten zugreifen?
Dann könnte ich doch ev. ein Cookie mittels des Scripts von Domain_2 auch für die zweite Domain anlegen, oder?
Gruss
Jonas
-
-
-
-
-
-
-
-
-
-
-
-
-