In pratica, i cookie di terze parti sono utilizzati in Autenticazione? Se sono bloccati, qual è la UX?

1

Sto effettuando ricerche sul flusso di autenticazione nel caso in cui vengano utilizzati cookie di terze parti per l'autenticazione su un sito Web e vengano bloccati dalle impostazioni di policy, proxy o browser.

È chiaro che CORS e vari plug-in fallirebbero nel caso in cui fossero disabilitati.

Ho visto sviluppatori fare alcune cose "creative" per aggirare questa limitazione ...

Domanda

  1. Quali sono i workaround e le minacce che espone ciascuna soluzione alternativa?

  2. Qual è l'approccio più affidabile? (come fa * .StackExchange?)

per es.

  • IFrame + cookie di terze parti bloccati
  • Uso di cookie invisibili (ad esempio Evercookie / ETags / etc)
  • Intestazioni di riferimento
  • Solo cookie SSL / HTTP
  • Una conversazione backchannel tra i due host. (Attendibile)
posta random65537 23.01.2017 - 00:12
fonte

0 risposte

Leggi altre domande sui tag