Multi domain - aldomain session kezelés

Címkék
simiczky
Multi domain - aldomain session kezelés
2010-08-25T13:26:49+02:00
2010-08-25T20:42:41+02:00
2022-06-29T06:51:59+02:00
  • Szevassz krisz!

    ezzel csak egy domain + összes aldomain -t tudod beállítani.
    session_set_cookie_params(3600,’/',’.domain.com’); session_set_cookie_params(3600,’/',’.domain_1.com’);

    a domain.com - on nem fog működni a multiple domain cookie

    parameteres iframe-val lehetne atadni, de mindenkepp klines oldalon előzmény


    Ezért teszem be az oldalak aljára a képeket
    <img src="http://domain_1.com/session.php?ID=123456" /> <img src="http://domain_2.com/session.php?ID=123456" /> <img src="http://domain_3.com/session.php?ID=123456" />

    A megoldás már megvan, működik engem inkább az érdekelne hogy milyen biztonsági rést nyitok ezzel a módszerrel?
    session lopás ... stb
    Mutasd a teljes hozzászólást!
  • Hi

    A lényeg az hogy a 4-5 domain és a több ezer aldomain alatt megmaradjon a session azonosító.

    aldomainekkel szvsz ilyen szinten sztem nem erdemes foglalkozni, ezt a php session cookie beállításában lerendezheted
    PHP Session Cookie Multiple Domains

    de cookiet nem fogsz tudni beállítani eltérő domainekre
    PERSISTENT CLIENT STATE HTTP COOKIES

    parameteres iframe-val lehetne atadni, de mindenkepp klines oldalon
    Mutasd a teljes hozzászólást!
  • Bár őszintén szólva én erősen eltanácsolnának a PHP beépített session-kezelésétől - a saját megoldás max. pártíz sor, és sokkal tisztább, biztonságosabb érzés.


    session_id($_GET['ID']);
    session_start();

    Ezt csak szemléltetésként írtam, a zend sessionkezelőjét használom.
    Mutasd a teljes hozzászólást!
  • én úgy tudom setcookie -val csak az aktuális domain névre tudsz beállítani sütit!? Vagy nem?
    Mutasd a teljes hozzászólást!
  • És miért nem állítod be egyszerűen a belépéskor a session-azonosítót sütiként az összes domain-hez külön-külön? A setcookie() ötödik paramétere a domain, amit ha megadsz, tetszőleges további domainekhez is beállíthatsz egy-egy sütit a válasz részeként. Aztán az oldalan belül az adott süti értékét adod át mindig a session_id()-nek mielőtt meghívod a session_start()-ot.

    Bár őszintén szólva én erősen eltanácsolnának a PHP beépített session-kezelésétől - a saját megoldás max. pártíz sor, és sokkal tisztább, biztonságosabb érzés.
    Mutasd a teljes hozzászólást!
  • Persze!

    A lényeg az hogy a 4-5 domain és a több ezer aldomain alatt megmaradjon a session azonosító.

    Belépek domain_1.com -on
    => átmegyek a domain_2.com -ra és bejelentkezve maradok.

    A lényeg hogy nem url -be viszem át a session azonosítót, hanem beléptettem az összes többi oldalon is ugyanazzal a munkamenettel


    Mutasd a teljes hozzászólást!
  • Én nagyon nem értem, hogy ez a dolog így hogyan és mire lesz jó. Kifejtenéd?
    Mutasd a teljes hozzászólást!
  • Sziasztok!

    Egy több domain / aldomain alatt központi session kezelés megoldásán dolgozok.
    Érdekelne hogy szerintetek mire figyeljek ill milyen biztonsági gondok adódhatnak az alábbi megvalósításból?
    (A domain nevek jelenleg ugyanazon a szevreren vannak, de a későbbiekben valószínű némelyik költöztetve lesz.)

    A "rendszer"

    - Sesssion kezelés adatbázis alapú
    - A session azonosítót minden oldal alján egy képben adom át

    <img src="http://domain_1.com/session.php?ID=123456" /> <img src="http://domain_2.com/session.php?ID=123456" /> <img src="http://domain_3.com/session.php?ID=123456" />

    A session.php kb ezt tartalmazza:
    function getDomain($url){ //kiszedem a lomot a $url -ből return $url; } ini_set('session.cookie_domain', '.'.getdomain( $_SERVER['HTTP_HOST'])); session_id($_GET['ID']); session_start();

    Köszi a válaszokat!
    Mutasd a teljes hozzászólást!
Címkék
abcd