[php]Cookie gebruiken op andere site.

woensdag 3 augustus 2005 11:22

Acties:

0 Henk 'm!

...

Topicstarter

Op een bepaalde site staat een phpbb-forum.
Nu heb ik op een andere site een php-scriptje gemaakt met verschillende extraatjes voor de gebruikers van dat forum.
Nu wilde ik de cookies, die door dat forum worden gemaakt, gebruiken om te controleren of de gebruikers daar zijn ingelogd. Als dat niet zo is, wil ik de toegang tot mijn site verbieden.

Hoe kan ik cookies die door een andere site zijn gemaakt lezen ?
Met Google en de zoekfunctie hier kom ik niet verder.

Speel ook Balls Connect en Repeat

woensdag 3 augustus 2005 11:27

Acties:

0 Henk 'm!

Erkens

Fotograaf

Php

als het goed is kan je gelukkig geen cookies lezen van een ander domein

Wel zou je cookies kunnen lezen van een ander subdomein zolang je die cookies maar zet op het hoofddomein, dus bijvoorbeeld voor dit forum niet op gathering.tweakers.net maar op tweakers.net, zodat je die op alle subdomeinen kunt lezen.

woensdag 3 augustus 2005 11:44

Acties:

0 Henk 'm!

Bosmonster

*zucht*

Je kunt dezelfde cookie meerdere keren wegschrijven voor verschillende domeinen. (Zie manual setcookie).

Dus je moet ff in de phpbb code duiken om de login cookie extra weg te schrijven.

woensdag 3 augustus 2005 12:18

Acties:

0 Henk 'm!

Onbekend

...

Topicstarter

Zelf heb ik niet het beheer over het phpbb-forum. Dus ik kan cookies niet meerdere keren wegschrijven ofzo.
Ook de domeinnaam is anders.

Speel ook Balls Connect en Repeat

woensdag 3 augustus 2005 12:24

Acties:

0 Henk 'm!

Bosmonster

*zucht*

Dan houdt het op. Want je kunt (uiteraard) niet zomaar cookies uitlezen van andere sites..

woensdag 3 augustus 2005 12:31

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

Php

Bosmonster schreef op woensdag 03 augustus 2005 @ 11:44:
Je kunt dezelfde cookie meerdere keren wegschrijven voor verschillende domeinen. (Zie manual setcookie).

Dus je moet ff in de phpbb code duiken om de login cookie extra weg te schrijven.

De manual verwijst vwb het domain argument naar Netscape documentatie waarin het volgende te lezen staat:

When searching the cookie list for valid cookies, a comparison of the domain attributes of the cookie is made with the Internet domain name of the host from which the URL will be fetched. If there is a tail match, then the cookie will go through path matching to see if it should be sent. "Tail matching" means that domain attribute is matched against the tail of the fully qualified domain name of the host. A domain attribute of "acme.com" would match host names "anvil.acme.com" as well as "shipping.crate.acme.com".

Only hosts within the specified domain can set a cookie for a domain and domains must have at least two (2) or three (3) periods in them to prevent domains of the form: ".com", ".edu", and "va.us". Any domain that fails within one of the seven special top level domains listed below only require two periods. Any other domain requires at least three. The seven special top level domains are: "COM", "EDU", "NET", "ORG", "GOV", "MIL", and "INT".

Kortom: ook een cookie setten voor een ander domein is niet mogelijk.

Ook de RFC is daar duidelijk in:

Moreover, a user agent rejects (SHALL NOT
store its information) if any of the following is true of the
attributes explicitly present in the Set-Cookie2 response header:

[...]
* The effective host name that derives from the request-host does
not domain-match the Domain attribute.

[ Voor 12% gewijzigd door crisp op 03-08-2005 12:34 ]

Intentionally left blank

woensdag 3 augustus 2005 14:02

Acties:

0 Henk 'm!

Onbekend

...

Topicstarter

Ok, bedankt voor de reacties.
Het is dus niet mogelijk om dat te doen. Ik zal dus een andere manier moeten vinden.

Speel ook Balls Connect en Repeat

woensdag 3 augustus 2005 14:49

Acties:

0 Henk 'm!

Verwijderd

Kan je niet een en het andere regelen met de beheerder van het phpbb-forum voor bijvoorbeeld toegang tot de session table? Op die manier kan je op jou site connectie maken naar de database en controleren of een bepaalde gebruiker is ingelogd aan de hand van een openstaande sessie met bijbehorend IP adres.

woensdag 3 augustus 2005 15:07

Acties:

0 Henk 'm!

Erkens

Fotograaf

Php

Verwijderd schreef op woensdag 03 augustus 2005 @ 14:49:
Kan je niet een en het andere regelen met de beheerder van het phpbb-forum voor bijvoorbeeld toegang tot de session table? Op die manier kan je op jou site connectie maken naar de database en controleren of een bepaalde gebruiker is ingelogd aan de hand van een openstaande sessie met bijbehorend IP adres.

Een IP adres hoeft niet een unieke gebruiker te zijn, en zelfs een unieke gebruiker kan een wisselend IP hebben.

woensdag 3 augustus 2005 15:20

Acties:

0 Henk 'm!

Verwijderd

Erkens schreef op woensdag 03 augustus 2005 @ 15:07:
[...]

Een IP adres hoeft niet een unieke gebruiker te zijn, en zelfs een unieke gebruiker kan een wisselend IP hebben.

Nee dit klopt, ik zeg ook niet dat het een nette oplossing is, maar het is in elk geval wat

woensdag 3 augustus 2005 16:12

Acties:

0 Henk 'm!

Erkens

Fotograaf

Php

Verwijderd schreef op woensdag 03 augustus 2005 @ 15:20:
[...]

Nee dit klopt, ik zeg ook niet dat het een nette oplossing is, maar het is in elk geval wat

zodra je niets om beveiliging geeft en het dus niet uitmaakt of iemand de sessie van een ander kan overnemen of juist niet ingelogt is, dan is er niks aan de hand natuurlijk

Zelf zou ik gewoon zorgen dat bij de login procedure je even geredirect wordt naar het andere domein wat ook een cookie zet, dat is het makkelijkst als je met meerdere domeinen bezig bent (voor subdomeinen is er helemaal geen probleem, zie de eerdere posts)

Onderwerpen