Retour à Forum de programmation

Croix domaine Sessions

  • Poly
  • Guru
  • Guru
  • Avatar de l’utilisateur
  • Inscription: Juil 31, 2004
  • Messages: 1054
  • Loc: Same place you left me.
  • Status: Offline

Message Mars 6th, 2013, 2:40 pm

Bonjour à tous

Alors Ive a rencontré un problème avec la nouvelle plateforme se développaient pour nos produits. Nous tenons pour un utilisateur de rester connecté sur l'ensemble de nos sites de produits (plusieurs domaines). Ive été lu sur quelques options et un sons comme il peut être une bonne solution pour nous, mais je voulais voir si quelqu'un a des idées ou si cela a des problèmes de sécurité :

L'utilisateur visite domain1.com. L'utilisateur clique sur un lien sur domain1.com qui les mènera vers une seule page membres domain2.com. Nous voulons que l'utilisateur de rester connecté.

La solution weve été regarder :
domain1.com et domain2.com chargement un script de domain3.com qui stocke les sessions. Que passant l'utilisateur est toujours connecté, comme la session est tirée d'un site tiers. Y a-t-il des problèmes de sécurité avec cela ?

Code: [ Select ]
<script type="text/javascript" src="http://domain3.com/session.php"></script>


Existe-t-il d'autres options pour cela qui ne nécessitent pas la session pour être envoyées dans le cadre de l'URL, ou se fait par le biais de post ? Les utilisateurs peuvent souhaiter parcourir les seules pages de membre sur plusieurs sites à la fois, donc en passant la session entre les sites utilisant _POST ou _GET cela empêcherait.

Merci les gars.
Every job is a self-portrait of the person who did it: Autograph your work with excellence.
  • Anonymous
  • Bot
  • No Avatar
  • Inscription: 25 Feb 2008
  • Messages: ?
  • Loc: Ozzuland
  • Status: Online

Message Mars 6th, 2013, 2:40 pm

  • ScottG
  • Proficient
  • Proficient
  • No Avatar
  • Inscription: Juil 06, 2010
  • Messages: 261
  • Status: Online

Message Mars 12th, 2013, 7:56 am

Pas sûr de la sécurité de ce que quelque chose comme une fronde.

1) utilisateur connecté domaine 1
2) Un hachage composé de mélange de d'informations pour comparer (id utilisateur + e-mail) envoyés au domaine 2 et le domaine référent peut-être dans un hachage ou l'id de formulaire via POST seulement
3) Domaine 2 boucles vers le domaine de référence et vérifie que les modules et le dernier temps de la consultation : Id dire dans la dernière minute. Si l'extraction d'informations et dernier accès était en moins d'une minute en vous connecter au domaine 2 en utilisant le hachage de l'info de l'utilisateur pour configurer la session sur le domaine 2

Vos séances ne serait pas être transmis. Il agirait plus comme un auto-login.
  • Poly
  • Guru
  • Guru
  • Avatar de l’utilisateur
  • Inscription: Juil 31, 2004
  • Messages: 1054
  • Loc: Same place you left me.
  • Status: Offline

Message Mars 12th, 2013, 5:59 pm

J'avais demandé une configuration similaire sur Stackoverflow et c'était à peu près coup vers le bas par tous les intervenants comme étant vulnérables à plusieurs problèmes de sécurité. Le système que j'ai proposé était très similaire, mais stocké les informations dans un cookie, que nous devons être en mesure de transmettre les informations sur plusieurs domaines sans l'aide de post. Le problème avec ceci est que quelqu'un pourrait utiliser un tas de problèmes de sécurité différents de dupliquer ce cookie d'utilisateurs et de voler leur session. La méthode post serait sûre, mais il serait contraire à l'objectif de le faire traverser le domaine.

Im au point où Im pensant ma meilleure option est de réorganiser notre configuration et ont les domaines pointent vers un répertoire sur notre site principal :

Domain1.com pointe vers :
US.domain.com/product

Domain2.com pointe vers :
US.domain.com/product2

Serait significannotly plus facile, et nous n'aurions pas à vous soucier de la sécurité des sessions puis.
Every job is a self-portrait of the person who did it: Autograph your work with excellence.
  • ScottG
  • Proficient
  • Proficient
  • No Avatar
  • Inscription: Juil 06, 2010
  • Messages: 261
  • Status: Online

Message Mars 13th, 2013, 7:31 am

C'est vrai c'est la raison pour laquelle j'ai ajouté la partie de l'heure du dernier accès db, quelque chose qui constamment des changements. Cependant, j'ai eu une pensée que je dormais la nuit dernière, et qui est connecter l'utilisateur dans tous les domaines au moment où ils vous connecter à l'un des domaines de l'utilisation de php curl et post.

PHP Code: [ Select ]
//extract data from the post
extract($_POST);
 
//set POST variables
$url = 'http://domain.com/get-post.php';
$fields = array(
                  'lname' => urlencode($last_name),
                  'fname' => urlencode($first_name),
                  'title' => urlencode($title),
                  'company' => urlencode($institution),
                  'age' => urlencode($age),
                  'email' => urlencode($email),
                  'phone' => urlencode($phone)
            );
 
//url-ify the data for the POST
foreach($fields as $key=>$value) { $fields_string .= $key.'='.$value.'&'; }
rtrim($fields_string, '&');
 
//open connection
$ch = curl_init();
 
//set the url, number of POST vars, POST data
curl_setopt($ch,CURLOPT_URL, $url);
curl_setopt($ch,CURLOPT_POST, count($fields));
curl_setopt($ch,CURLOPT_POSTFIELDS, $fields_string);
 
//execute post
$result = curl_exec($ch);
 
//close connection
curl_close($ch);
 
  1. //extract data from the post
  2. extract($_POST);
  3.  
  4. //set POST variables
  5. $url = 'http://domain.com/get-post.php';
  6. $fields = array(
  7.                   'lname' => urlencode($last_name),
  8.                   'fname' => urlencode($first_name),
  9.                   'title' => urlencode($title),
  10.                   'company' => urlencode($institution),
  11.                   'age' => urlencode($age),
  12.                   'email' => urlencode($email),
  13.                   'phone' => urlencode($phone)
  14.             );
  15.  
  16. //url-ify the data for the POST
  17. foreach($fields as $key=>$value) { $fields_string .= $key.'='.$value.'&'; }
  18. rtrim($fields_string, '&');
  19.  
  20. //open connection
  21. $ch = curl_init();
  22.  
  23. //set the url, number of POST vars, POST data
  24. curl_setopt($ch,CURLOPT_URL, $url);
  25. curl_setopt($ch,CURLOPT_POST, count($fields));
  26. curl_setopt($ch,CURLOPT_POSTFIELDS, $fields_string);
  27.  
  28. //execute post
  29. $result = curl_exec($ch);
  30.  
  31. //close connection
  32. curl_close($ch);
  33.  
  • Poly
  • Guru
  • Guru
  • Avatar de l’utilisateur
  • Inscription: Juil 31, 2004
  • Messages: 1054
  • Loc: Same place you left me.
  • Status: Offline

Message Mars 13th, 2013, 10:32 am

Il s'agit d'une possibilité de bonne Scott. Im va passer quelque temps cette aujourd'hui. Pas quelque chose qui avait eu lieu pour moi.
Every job is a self-portrait of the person who did it: Autograph your work with excellence.

Page 1 sur 1

Afficher de l'information

  • Total des messages de ce sujet: 5 messages
  • Utilisateurs parcourant ce forum: ScottG et 274 invités
  • Vous ne pouvez pas poster de nouveaux sujets
  • Vous ne pouvez pas répondre aux sujets
  • Vous ne pouvez pas éditer vos messages
  • Vous ne pouvez pas supprimer vos messages
  • Vous ne pouvez pas joindre des fichiers
 
 

© 2011 Unmelted, LLC. Ozzu® est une marque déposée de Unmelted, LLC