Ankündigung

Einklappen
Keine Ankündigung bisher.

Multi-Session

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Multi-Session

    Hallo Leute!

    Ich habe folgendes verzwicktes Problem ....
    Meine Internetplattform erstreckt sich über mehrere Länder und somit auch über mehrere Domains (meinedomain.de - meinedomain.ch. - meinedomain.at)

    Ich möchte nun das jeweilige Login über die Domains mitnehmen....
    Alle Domains liegen am gleichen Server und verwenden die gleiche Datenbank und großteils auch den gleichen Code, dennoch ist ja die Session-ID (cookie) an die Domain gebunden.

    Das ganze soll aber ohne _POST und _GET Parameter erfolgen ....

    Im Endeffekt würde eine eindeutige Identifizierung des Rechners auch schon genügen (IP ist zu wenig).

    Hat da jemand eine Lösung parart?

    Vielen Dank schon mal ....


  • #2
    Im Endeffekt würde eine eindeutige Identifizierung des Rechners auch schon genügen (IP ist zu wenig).
    So etwas gibt es nicht. "würde schon genügen" ist also der Witz der Woche
    Als Fortgeschrittener solltest Du das wissen.

    [MOD: verschoben]

    dennoch ist ja die Session-ID (cookie) an die Domain gebunden.
    Ja, weil Du quasi 3 Anwendungen benutzt. Es stellt sich die Frage, warum Du nicht alle Domains auf eine Hauptdomain umleitest.
    --

    „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
    Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


    --

    Kommentar


    • #3
      Weil Sonntag Nachmittag ist dürfte der "beste" Witz wohl ziemlich gut gewesen sein ...

      Es muss doch irgendeinen Trick geben, diese Problematik zu umgehen.
      Ich denke da zB an Facebook-Connect

      Wenn ich einen Rechner identifizieren könnte hätte ich auch schon gewonnen ....

      Kommentar


      • #4
        Kannst Du aber nicht.

        Es stellt sich die Frage, warum Du nicht alle Domains auf eine Hauptdomain umleitest.
        Nach wie vor.
        --

        „Emoticons machen einen Beitrag etwas freundlicher. Deine wirken zwar fachlich richtig sein, aber meist ziemlich uninteressant.
        Wenn man nur Text sieht, haben viele junge Entwickler keine interesse, diese stumpfen Texte zu lesen.“


        --

        Kommentar


        • #5
          Zitat von blumi Beitrag anzeigen
          Es muss doch irgendeinen Trick geben, diese Problematik zu umgehen.
          Über TLD-Grenzen hinweg gibt es keine Datenübergabe mittels HTTP-Cookies.

          Ich denke da zB an Facebook-Connect
          Flash-Cookies, cross-domain XMLHttpRequest, ... Tricks gibt's in der Hinsicht vermutlich einige. Eine Garantie dafür, dass sie auf der breiten Masse aller Endgeräte hinreichend zuverlässig funktionieren, kaum.

          Wenn ich einen Rechner identifizieren könnte hätte ich auch schon gewonnen ....
          Dann übergebe etwas, mit dem du ihn identifizieren kannst.
          Nenne es, wo du gerade schon dabei bist, der Einfachheit halber „Session-ID“.
          Nutzer zur Übergabe GET oder POST, weil dir COOKIE nicht zur Verfügung steht.

          Wenn dir das zu unsicher erscheint - dann verteile eine sensible Anwendung nicht über multiple, länderspezifische Domains.

          Wenn das aus PR- oder sonstigen Gründen nicht in Frage kommen sollte - dann entwickle selber ein HTTP-basiertes cross-domain-Authentifizierungssystem.

          Kommentar


          • #6
            Du könntest z. B. auf der deutschen Domain ein Skript aus den anderen Domains einbinden (z. B. als 1x1px-Bild), dass als Parameter die aktuelle Session-ID bekommt, welches sie in das passende Cookie speichert (PHPSESSID. Dann würde, wenn der Benutzer auf eine der anderen Domains kommt, diese Session-ID weiter benutzt werden.

            Das setzt allerdings einen zentralen Server voraus, der die Sessions verwaltet.

            So in dr Richtung macht es Facebook, glaube ich..

            Kommentar


            • #7
              Was sprich denn dagegen die Session-ID beim Link zum Sprachwechsel anzuhängen?
              "Mein Name ist Lohse, ich kaufe hier ein."

              Kommentar


              • #8
                Nach OWASP-Standard hört sich der Wahnsinn nicht wirklich an. Sofern ein Benutzer gegenüber Dritten bei einem Service-Provider authentifiziert werden soll (z.B. der Nutzer aif der Landes-Seite gegenüber der Haupt-Seite der Plattform) bieten sich Protokolle wie OAuth an. Alles andere (insbesondere x-Domain-Anfragen) blocken gute Browser als CSRF oder XSR.
                Viele Grüße,
                Dr.E.

                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
                1. Think about software design before you start to write code!
                2. Discuss and review it together with experts!
                3. Choose good tools (-> Adventure PHP Framework (APF))!
                4. Write clean and reusable software only!
                ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

                Kommentar

                Lädt...
                X