Пересечь доменное использование защищенного cookie?
У меня есть веб-сайт, который шел с сайтом SSL для HTTPS, но на другом сервере. Пример быть
мой веб-сайт:
http://example.com
мой сайт SSL:
https://myhostingcompany.com/~myuseraccount/
Таким образом, я могу сделать транзакции по HTTPS, и у нас есть учетные записи пользователей и все, но он расположен на другом домене. Домен cookie установлен для того.
Существует ли способ, которым я могу проверить свой фактический сайт, чтобы видеть, установлен ли cookie для другого? И возможно захватите его данные и автора пользователь?
Я думаю, что это нарушает главный принцип безопасности и не может быть сделано на серьезных основаниях, но является мной неправильно? действительно ли это возможно?
1 ответ
Вы можете настроить службу на любом сайте для обработки RPC через HTTP POST запросы. Вы можете сделать так, чтобы для этого требовался какой-то сеанс, который может быть создан только на ваших сайтах. Однако, все, что может быть доступно через этот общий сеанс на сайте HTTPS, не будет иметь гарантии конфиденциальности или целостности.