In che modo l'invio di e-mail dallo stesso dominio causa la ricezione di cookie da parte di terzi

1

Recentemente ho letto questo link

If we'd add a CNAME to a third party under the stackoverflow.com domain, they'd receive all our users cookies, which some sites are OK with, but we aren't.

Sulla risposta di m0sa è stato detto che l'uso dello stesso dominio del sito Web per inviare email comprometterebbe il cookie a terze parti. Com'è così? E cos'è questo CNAME?

    
posta Ruchan 26.01.2017 - 06:38
fonte

1 risposta

1

CNAME è come un alias di dominio, ad esempio se fai email.stackoverflow.com un CNAME che punta a evil.com , chiunque cerchi di accedere a email .stackoverflow.com accederà effettivamente a qualunque server evil.com punta. Tuttavia, per quanto riguarda il browser, continua a pensare che stia accedendo a email.stackoverflow.com e invierà felicemente tutti i cookie impostati dal dominio principale, che potrebbero includere i token di sessione sensibili.

Usando un dominio completamente diverso (invece di un sottodominio) attenuano questo rischio e impediscono al loro provider di posta elettronica / newsletter di terze parti di ottenere i cookie di sessione dell'utente.

Il browser potrebbe inviare cookie se l'utente fa clic esplicitamente su qualsiasi link al sottodominio o se l'e-mail è in formato HTML e collega a risorse su quel dominio come immagini.

    
risposta data 26.01.2017 - 12:19
fonte

Leggi altre domande sui tag