Onderwerp: Cookie acros domains

Probleem:

Ik heb een hoofdsite (domein1.be), en daar kunnen leden zich op inloggen.
Op die hoofdsite kunnen ze verschillende subsites selecteren om te bezoeken (domein2.be en domein3.be).
Het probleem is dat als leden naar 1 van de andere domeinen overgaan, de cookies niet langer geldig zijn, met als gevolg ze die site niet kunnen bezoeken.

Is er een manier om de cookies toch overal te laten werken?
* of
domein1.be,domein2.be,domein3.be?


Bedankt!

Ik zou het serializen via de URL? Bekijk de Cookie functies van PHP of je script voor meer info... Je kan wel domeinen kiezen, maar hoe het werkt weet ik niet.

Stel als domein voor je cookies gewoon .be in, probleem opgelost hehe

Serializen van de url is via:
./index.php?site=domein1&p=login.php

Hoe kan ik dit dan veilig maken, ik ben aan het denken aan:
$_GET[variabele]=htmlspecialchars(addslashes(htmlentities($_GET[variabele]));
en dan via include("$_GET[variabele]");
Is dit voldoende veilig?
En moet ik dan met include of header of ... werken?

Ik weet het, een beetje een domme vraag in de ogen van jullie professionele scripters ;-)


Alvast bij voorbaat bedankt!

Ps: .be als cookie domein nemen is onveilig + ik heb ook een aantal .com's

Is dit voldoende veilig?

Absoluut onveilig en open voor de eerste scriptkiddie die op je website komt. Nooit direct bestanden includen vanuit een variabele van buitenaf.

Werken de drie domeinen met dezelfde database?
Zo ja, dan kun je een hash meegeven aan de url; die hash kun je bijvoorbeeld maken aan de hand van een md5 van de gebruikers_id en salt.

Afhankelijk van of pagina's open staan om te bekijken, kan zo'n hash voor problemen zorgen bij indexering door zoekmachines. Als alles toch achter een login formulier zit, heb je dat probleem niet.

Origineel geplaatst door klasje.be
Serializen van de url is via:
./index.php?site=domein1&p=login.php

Hoe kan ik dit dan veilig maken, ik ben aan het denken aan:
$_GET[variabele]=htmlspecialchars(addslashes(htmlentities($_GET[variabele]));
en dan via include("$_GET[variabele]");
Is dit voldoende veilig?
En moet ik dan met include of header of ... werken?

Ik weet het, een beetje een domme vraag in de ogen van jullie professionele scripters ;-)


Alvast bij voorbaat bedankt!

Ps: .be als cookie domein nemen is onveilig + ik heb ook een aantal .com's

het is redelijk veilig indien je er een if/else van maakt waardoor er een selectie plaatsvind met toegestane waarden.

if/else is een lastige optie, aangezien ik het hier over bijna 250 pagina's heb!

Alle domeinen (meer dan 3) werken momenteel op dezelfde server, maar met verschillende databases.
Is het ook mogelijk om het te doen over verschillende servers?
(Niet noodzakelijk, maar handig voor uitbreidings mogelijkheden in de toekomst)

Zou het werken met session id's lukken?

Ik was ook aan de volgende code aan het denken:
if($_GET[site]=domein1){
$dir="/var/www/domein1";
}
if($_GET[site]=domein2){
$dir="/var/www/domein2";
}
$dirlist = opendir($dir);
while($file=readdir($dirlist)) {
if(!ereg('^\.|config|'.$_GET[p],$file)){

$mods = substr($file,0,strlen($file));

include($mods);
//echo $mods;
}
}
closedir();
}

Ik geloof dat dit script eerst kijkt in de map of het bestand dat ze willen includen wel bestaat, als het niet bestaat wordt er niets geincluded.

Of iets als:
$data_file = "$dir/data/$file";
if (file_exists($data_file)){
include...
}

Reacties of betere codes?

Aangezien er geen reacties komen, mag ik aannemen dat er voor mijn probleem geen oplossing mogelijk is?
Indien wel, of gedeeltelijk: wat? :-)

Je kan in php je sessies ook gaan opslaan in een database. Als je dan zorgt dat alle sites in ieder geval die sessie gegevens uit dezelfde database halen, dan kan je dit dus controleren.

- Dennie

Heb je daar toevallig ook een klein voorbeeld van?
Is dat gewoon $_SESSION[id] in de database zetten, en dan op een andere website die sessie op 1 of andere manier openen?
Ik dacht dat sessies browser based waren en niet werken in een nieuw venster?

Origineel geplaatst door Dennie-DeTi
Je kan in php je sessies ook gaan opslaan in een database. Als je dan zorgt dat alle sites in ieder geval die sessie gegevens uit dezelfde database halen, dan kan je dit dus controleren.

- Dennie

Lijkt me niet al te geweldig, dit vanwege de sessie timeout e.d. Tevens is een session ook een cookie die wordt gelimiteert aan je domein.

Denk dat je met serializen idd het verste komt.

Hoe kan ik veilig serializen dan? :-$
if/else is geen optie vanwege de vele verschillende bestanden en domeinen.
Met serializen heb je natuurlijk ook weer het nadeel dat de url niet mooi staat.

Hoofdsite gameverzameling.com: inloggen
Kies je spel:
1) War4Europe.com
2) Aandeelhoudertycoon.be
3) Secondwarzone.be
4) ...

Ik heb nu van elk domein de .com, .nl en .be gekocht, maar door te serializen worden deze overbodig, want alles gaat via de hoofdsite gameverzameling.com/?game=xxx&pagina=index.php

Is het mogelijk om na het inloggen op het hoofddomein een pagina te laten laden met allemaal iframe's van andere domeinen.
Die iframe's maken dan de juiste cookies aan op hun eigen domein.

Zou dit werken?
Als je inlogt op 1 site worden voor alle domeinen de cookies aangemaakt.
Of moet de url effectief in de adresbalk staan? (Geen cookies aanmaakbaar via iframe?)

Origineel geplaatst door Hans
Stel als domein voor je cookies gewoon .be in, probleem opgelost hehe

Even serieus... werkt dit? Kan me haast niet voorstellen dat MS of Mozilla dat toch niet hebben geblokkeerd..

Zelf hier laatste tijd wel last van een cookie:
WIDYMD KIDYMD en FRQSTR wat ik op iedere site blijk mee te sturen (geen spyware ofzo op pc).

Origineel geplaatst door klasje.be
Is het mogelijk om na het inloggen op het hoofddomein een pagina te laten laden met allemaal iframe's van andere domeinen.
Die iframe's maken dan de juiste cookies aan op hun eigen domein.

Dan heb je een P3P pollicy nodig op je site... en zie dat maar eens goed werkend te krijgen (ben je wel even kwijt). (zie info bij w3c).

Anders blokken alle moderne browsers je cookies zonder enige vorm van ...