StianBak Skrevet 4. september 2007 Rapporter Del Skrevet 4. september 2007 Hei der. Har et problem jeg trenger en løsning på hvis det er mulig. Jeg har to domener som jeg bruker. La oss si: www.domene1.com og www.domene2.com www.domene2.com er satt til cloaked forwarding og peker til http://www.domene1.com/v2 Problemet mitt er å få sessions og cookies til å fungere på begge domenene. Slik at man slipper å logge inn på nytt når man går til domene2 og så videre. Er det noen løsning på dette? Lenke til kommentar
Ståle Skrevet 4. september 2007 Rapporter Del Skrevet 4. september 2007 Lagre sessions til databasen pa det ene domenet. http://www.developertutorials.com/tutorial...0711/page1.html Lenke til kommentar
StianBak Skrevet 4. september 2007 Forfatter Rapporter Del Skrevet 4. september 2007 Jeg har lagrer allerede sessions i databasen. Så når en person logger inn lagres session id, time og brukernavn, og brukerid i databasen. Men hvordan kan jeg hente ut denne informasjonen i domene2 og automatisk logge brukeren inn? Etter hva jeg har forstått så vil jo session_id'en være forskjellig, og jeg kan jo ikke identifisere raden ved hjelp av ip adressen heller. Mulig dette kan løses enkelt, men jeg er ikke så bevandret når det gjelder sessions. Scenario: En bruker logger inn på hovedsiden, altså www.domene1.no. Der surfer han rundt litt før han besøker bildegalleriet sitt, som heter www.domene2.no. Hva må jeg gjøre for at brukeren skal forbli logget inn på domene2? Informasjon som lagres i databasen ved innlogging er: Session id, ip, brukernavn, brukerid og logintidspunkt. Any ideas? Helst så enkelt som mulig Lenke til kommentar
Ernie Skrevet 4. september 2007 Rapporter Del Skrevet 4. september 2007 Det er ikke noe enkelt svar eller løsning på det du spør om. Dette kommer primært av at det normalt vil være sikkerhet inni bildet. Session id er i bunn og grunn en sisteskanse sikkerhetsmessig innen håndtering av innlogging osv. på web. Resultatet er at cookie man setter (i likhet med mange andre cookie-er) overhode ikke bør være aksesserbar på andre nettsider med det resultat at en cookie bare sendes til det nettstedet som er spesifisert (normalt domenet man operer på). Jeg sier spesifisert her med god grunn. Ja, det er mulig å sette cookie for 3. part, dvs. andre domener, men du må være klar over at dette blir ansett som en sikkerhetsrisiko deluxe blant annet fordi dette kan og blir brukt til "tracking" av brukere. Etter min mening avviser en god nettleser blankt 3. parts cookie. Skulle du alikevel gjøre det så ta en titt på setcookie(). Session id henter du forøvrig ut med session_id() Det jeg derimot ser på som en mulighet er å benytte subdomener. La domeneX føre til et subdomene av domeneY. Da slipper du unna greia med å sende ut 3.parts cookie siden man tillater i mye høyere grad å sende ut cookie for alle subdomener av et eller annet domene. Lenke til kommentar
Peter Skrevet 8. september 2007 Rapporter Del Skrevet 8. september 2007 (endret) Du må antakelig sende med sessionId som GET-parameter via f.eks. en spesiell inngangsfil som sørger for å rydde opp og sette riktig cookies osv. Problemet uansett retning blir sikkerheten rundt dette, så det er viktig å regenerere sessionId ofte, men da har du igjen problemet få syncet cookies for den andre serveren igjen. Endret 8. september 2007 av Nazgul Lenke til kommentar
Ernie Skrevet 8. september 2007 Rapporter Del Skrevet 8. september 2007 Å kjøre sid via GET er vel som å be om bråk? Langt fra alle tenker på at det er noe "hemmelig" som står i linken og sender den gjerne til gud og hvermann. "http://www.domene.no/bilder.php?id=1&PHPSESSID=Blz5QKZO7bnnb1MIsfYNN773w78 Seeeee på det flottet bildet her da!", og da er helvete løs. Lenke til kommentar
Peter Skrevet 8. september 2007 Rapporter Del Skrevet 8. september 2007 Å kjøre sid via GET er vel som å be om bråk? Langt fra alle tenker på at det er noe "hemmelig" som står i linken og sender den gjerne til gud og hvermann. "http://www.domene.no/bilder.php?id=1&PHPSESSID=Blz5QKZO7bnnb1MIsfYNN773w78 Seeeee på det flottet bildet her da!", og da er helvete løs. 9450862[/snapback] Absolutt, det er derfor du må regenerere sid, noe som invaliderer sid'en som blir spredd, men da har du samme problem på vei tilbake. Hva med å bruke kryptografi? Dersom du har en nøkkel som begge serverene vet om, kan du jo sende dataene kryptert med f.eks. AES eller rijndael via enten POST eller GET? Har ikke testet, men skulle vel i teorien være mulig? Lenke til kommentar
Ernie Skrevet 8. september 2007 Rapporter Del Skrevet 8. september 2007 Å kjøre sid via GET er vel som å be om bråk? Langt fra alle tenker på at det er noe "hemmelig" som står i linken og sender den gjerne til gud og hvermann. "http://www.domene.no/bilder.php?id=1&PHPSESSID=Blz5QKZO7bnnb1MIsfYNN773w78 Seeeee på det flottet bildet her da!", og da er helvete løs. 9450862[/snapback] Absolutt, det er derfor du må regenerere sid, noe som invaliderer sid'en som blir spredd, men da har du samme problem på vei tilbake. Hva med å bruke kryptografi? Dersom du har en nøkkel som begge serverene vet om, kan du jo sende dataene kryptert med f.eks. AES eller rijndael via enten POST eller GET? Har ikke testet, men skulle vel i teorien være mulig? 9451082[/snapback] Vel, jeg undersøker muligheten for tiden. Tar et fag på HiG hvor jeg har et prosjekt hvor jeg ser på mulighetene i det å sikkert verifisere at noen er den de sier de er. Tanken er absolutt mulig, spørsmålet er bare hvordan gjennomføre det, noe jeg også bør kunne seinere i høst når prosjekt nr. 2 skal igang. Uannsett, en eller annen metode for "challange response" må implementeres på et eller annet vis, og det finnes fortsatt elementer igjen som gjør det hele usikkert (f.eks registering). Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå