Volver al Programación / Codificación foro

Cruz sesiones de dominio

  • Poly
  • Guru
  • Guru
  • Avatar de Usuario
  • Registrado: Jul 31, 2004
  • Mensajes: 1054
  • Loc: Same place you left me.
  • Status: Offline

Nota Marzo 6th, 2013, 2:40 pm

Hola a todos

Así que he topado con un problema con la nueva plataforma desarrollaban para nuestros productos. Nos gustaría un usuario permanecer conectado a través de todos nuestros sitios de producto (varios dominios). Ive estado leyendo unas opciones y uno sonidos como puede ser una buena solución para nosotros, pero quería ver si nadie tiene ideas o si tiene problemas de seguridad:

Usuario visita domain1.com. Usuario hace clic en un enlace de domain1.com que les lleva a una página única miembros domain2.com. Queremos que el usuario para permanecer conectado.

La solución hemos estado mirando:
Domain1.com y domain2.com cargan una secuencia de comandos de domain3.com que almacena las sesiones. Que forma el usuario está siempre conectado, como la sesión es extraída de un tercer sitio. ¿Hay algún problema de seguridad con esto?

Código: [ Select ]
<script type="text/javascript" src="http://domain3.com/session.php"></script>


¿Hay alguna otra opción a esto que no requiere la sesión para enviarlo como parte de la URL, o se hace a través de correos? Los usuarios deseen navegar por páginas único miembro en varios sitios a la vez, para pasar el período de sesiones entre los sitios utilizando _POST o _GET esto impediría.

Gracias a chicos.
Every job is a self-portrait of the person who did it: Autograph your work with excellence.
  • Anonymous
  • Bot
  • No Avatar
  • Registrado: 25 Feb 2008
  • Mensajes: ?
  • Loc: Ozzuland
  • Status: Online

Nota Marzo 6th, 2013, 2:40 pm

  • ScottG
  • Proficient
  • Proficient
  • No Avatar
  • Registrado: Jul 06, 2010
  • Mensajes: 265
  • Status: Offline

Nota Marzo 12th, 2013, 7:56 am

No estoy seguro sobre la seguridad de esto algo como un tirachinas.

1) el usuario ha iniciado sesión en el dominio 1
2) Un hash compuesto por mezcla de información para comparar (id de usuario + email) enviado a dominio 2 y el dominio de referencia tal vez una hash o identificación sólo en forma a través de correos
3) Dominio 2 rizos hacia referencia a dominio y comprueba que la información del usuario y el último tiempo el Id de acceso decir en el último minuto. Si la extracción de la información y el acceso de la último fue en menos de un minuto en iniciar dominio 2 mediante el hash de la información de usuario para configurar la sesión en el dominio 2

Las sesiones no se pasa a través. ¿Actuar más como un inicio de sesión automático.
  • Poly
  • Guru
  • Guru
  • Avatar de Usuario
  • Registrado: Jul 31, 2004
  • Mensajes: 1054
  • Loc: Same place you left me.
  • Status: Offline

Nota Marzo 12th, 2013, 5:59 pm

Pedí una configuración similar en Stackoverflow y era más o menos tiro abajo por todos los respondedores como vulnerables a varios problemas de seguridad. El sistema propuse fue muy similar, pero guarda la información en una cookie, como tenemos que ser capaces de pasar la información a través de dominios sin utilizar post. El problema con esto es que alguien podría utilizar un montón de cuestiones de seguridad diferentes para duplicar esa cookie de los usuarios y robar su sesión. El método post sería seguro, pero derrotaría el propósito de hacerlo Cruz dominio.

Mensajería instantánea en el punto donde Im pensando mi mejor opción debe adaptarse a nuestra configuración, y se los dominios apuntar a un directorio en nuestro sitio web principal:

Domain1.com señala:
US.domain.com/product

Domain2.com señala:
US.domain.com/product2

Sería más fácil significannotly, y no tengamos que preocuparnos por la seguridad de las sesiones luego.
Every job is a self-portrait of the person who did it: Autograph your work with excellence.
  • ScottG
  • Proficient
  • Proficient
  • No Avatar
  • Registrado: Jul 06, 2010
  • Mensajes: 265
  • Status: Offline

Nota Marzo 13th, 2013, 7:31 am

Es cierto que por eso he añadido la parte de la última vez que acceso db, algo que constantemente cambios. Sin embargo tenía un pensamiento mientras dormía anoche, y que se registro el usuario en todos los dominios al tiempo que acceder a uno de los dominios mediante el uso de php curl y correos.

PHP Código: [ Select ]
//extract data from the post
extract($_POST);
 
//set POST variables
$url = 'http://domain.com/get-post.php';
$fields = array(
                  'lname' => urlencode($last_name),
                  'fname' => urlencode($first_name),
                  'title' => urlencode($title),
                  'company' => urlencode($institution),
                  'age' => urlencode($age),
                  'email' => urlencode($email),
                  'phone' => urlencode($phone)
            );
 
//url-ify the data for the POST
foreach($fields as $key=>$value) { $fields_string .= $key.'='.$value.'&'; }
rtrim($fields_string, '&');
 
//open connection
$ch = curl_init();
 
//set the url, number of POST vars, POST data
curl_setopt($ch,CURLOPT_URL, $url);
curl_setopt($ch,CURLOPT_POST, count($fields));
curl_setopt($ch,CURLOPT_POSTFIELDS, $fields_string);
 
//execute post
$result = curl_exec($ch);
 
//close connection
curl_close($ch);
 
  1. //extract data from the post
  2. extract($_POST);
  3.  
  4. //set POST variables
  5. $url = 'http://domain.com/get-post.php';
  6. $fields = array(
  7.                   'lname' => urlencode($last_name),
  8.                   'fname' => urlencode($first_name),
  9.                   'title' => urlencode($title),
  10.                   'company' => urlencode($institution),
  11.                   'age' => urlencode($age),
  12.                   'email' => urlencode($email),
  13.                   'phone' => urlencode($phone)
  14.             );
  15.  
  16. //url-ify the data for the POST
  17. foreach($fields as $key=>$value) { $fields_string .= $key.'='.$value.'&'; }
  18. rtrim($fields_string, '&');
  19.  
  20. //open connection
  21. $ch = curl_init();
  22.  
  23. //set the url, number of POST vars, POST data
  24. curl_setopt($ch,CURLOPT_URL, $url);
  25. curl_setopt($ch,CURLOPT_POST, count($fields));
  26. curl_setopt($ch,CURLOPT_POSTFIELDS, $fields_string);
  27.  
  28. //execute post
  29. $result = curl_exec($ch);
  30.  
  31. //close connection
  32. curl_close($ch);
  33.  
  • Poly
  • Guru
  • Guru
  • Avatar de Usuario
  • Registrado: Jul 31, 2004
  • Mensajes: 1054
  • Loc: Same place you left me.
  • Status: Offline

Nota Marzo 13th, 2013, 10:32 am

Se trata de una buena posibilidad de Scott. Im que va a pasar algún tiempo investigando esto hoy. No es algo que se me había ocurrido.
Every job is a self-portrait of the person who did it: Autograph your work with excellence.

Página 1 de 1

Publicar Información

  • Total de mensajes en este tema: 5 mensajes
  • Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 263 invitados
  • No puede abrir nuevos temas en este Foro
  • No puede responder a temas en este Foro
  • No puede editar sus mensajes en este Foro
  • No puede borrar sus mensajes en este Foro
  • No puede enviar adjuntos en este Foro
 
 

© 2011 Unmelted, LLC. Ozzu® es una marca registrada de Unmelted, LLC