Tracciamento della legalità dei cookie (impostato da altri siti)

Naviga le tue risposte
0

Ho creato un sito web A che richiede nome utente & password, esiste un'altra fonte chiusa sito web B che richiede nuovamente le credenziali di accesso. Un utente utilizza entrambi questi siti Web. Desidero implementare un SSO in modo tale che se l'utente effettua l'autenticazione sul sito Web B, il mio sito Web A consente all'utente di ignorare l'interfaccia di accesso. Per questo dovrà controllare un cookie valido impostato dal sito Web B sul browser client (javascript) & decifrare (nel caso in cui il cookie sia crittografato). Ma voglio saperlo : -

  • È legale leggere il cookie impostato da altri siti web (nel mio contesto)?
  • È legale decrittografare i cookie per verificare (non alterare i dati dei cookie, solo dati di lettura non dannosi)?

il proprietario del sito web B può citare in giudizio il proprietario del sito web A?

    
posta Puneet S. Chauhan 21.11.2014 - 06:43
fonte

2 risposte

4

A meno che il "sito web A" e il "sito web B" siano entrambi sottodomini dello stesso dominio, ciò che si vuole fare è impossibile; se sono sottodomini dello stesso dominio, la stessa persona o organizzazione presumibilmente controlla entrambi. Di conseguenza, la legalità è irrilevante.

    
risposta data 21.11.2014 - 07:54
fonte
3

I cookie dipendono dal dominio. Non decidi, dal lato server, quale cookie leggi; il browser invia i cookie memorizzati che corrispondono al nome (con dominio) del server di destinazione.

Se si desidera condividere un'autenticazione in alcuni modi SSO, è necessario che entrambi i server A e B deleghino l'autenticazione a un server terzo comune C. Tale server eseguirà la finestra di dialogo login + password e memorizzerà un cookie nel browser. Né A né B vedranno mai quel cookie. Invece, comunicano direttamente con il server C per sapere chi si trova all'altro capo della linea. Ecco come funziona OpenID . Per inciso, questo è ciò che viene utilizzato per l'autenticazione con i siti StackExchange: quando si dice "accedi con Facebook", ciò significa che un server di Facebook eseguirà l'autenticazione e che i server StackExchange non vedranno la password o alcun cookie di Facebook. / p>

Un altro metodo consiste nel creare un sito front-end D che controlli, e fa l'autenticazione, e inoltra tutte le richieste e le risposte al sito A o al sito B, riscrivendo tutti gli URL all'interno dell'HTML per mantenere la sua posizione di intermediario. Alcuni fornitori offrono appliance che fanno quel lavoro (es. NetIQ , ma non sono gli unici su quel mercato). Ovviamente ciò significa che dal punto di vista dell'utente finale, tutti i contenuti sono serviti dal sito D, non da A o B; il proprietario di B potrebbe farti causa per riproduzione o plagio non autorizzati (se vincessero è un'altra domanda).

    
risposta data 21.11.2014 - 15:19
fonte

Leggi altre domande sui tag

Password: simboli e lunghezza 20 non consentiti [duplicato] Come eseguire un exploit senza interazione dell'utente?