Всякий раз, когда я вхожу в систему для одного сервиса Google, я автоматически регистрирую все остальные веб-сайты в разных доменах.
Что я хочу знать, так это то, как они могут получить доступ к разрозненным файлам cookie и сеансам, принадлежащим другому домену.
Я пробовал искать в Интернете, но я не мог найти никакой информации. Я мог бы, возможно, вытащить firebug и попытаться выяснить, но я уверен, что кто-то здесь знает.
Google Войти работает следующим образом:
1) Вы входите в систему, как правило, на странице входа в домен Google.com/accounts.
1a) Если вы не находитесь в домене Google.com/accounts, он отправит вас туда после отправки формы. Это можно найти на сайтах, таких как Blogger.
Как только вы прибудете в домен Google.com/accounts, они сделают две вещи
2) Они устанавливают файлы cookie (ы), относящиеся к домену Google.com/accounts, которые также могут быть отправлены только через безопасное соединение. Это должно подтвердить вашу личность позже.
Я говорю несколько, потому что есть несколько куки, привязанных к домену google.com/accounts. Я считаю, что один из них заключается в том, чтобы убедиться, что все не сработает, если безопасные соединения не разрешены
3) Они устанавливают cookie, который охватывает все домены, используя .google.com в качестве своего домена, потому что это сделает файл cookie доступным для любого домена.
4) Они отправляют вас назад.
5) Если это сайт в другом домене, например блоггер, они отправляют ключ авторизации в URL. Страница видит, подтверждает это и устанавливает cookie для другого домена. Подобную технику можно увидеть с помощью Google Oauth.
Здесь находится безопасное Cookie.
Если вы заметили, что всякий раз, когда вы переходите на сайт после закрытия своего браузера, они пересылают вам путь google.com/accounts, где они будут проверять вас в безопасном соединении, а затем reset cookie файл поддомена, Затем они отправят вас обратно.
Кроме того, некоторые сайты, такие как Google Adsense, используют тот же метод, что и Google.com/accounts, создавая безопасный куки файл по определенному пути, а затем используя более глобальные куки файлы, чтобы обеспечить больший доступ.
Некоторые из них угадывают, но, учитывая то, что может видеть не-инсайдер, я считаю, что это близко к истине.
Примечание. Я буквально потратил, как целый месяц, только просмотр с сайта Google на сайт Google, видя, как они делали. Положив это сообщение, вы уменьшаете печаль, которую я испытываю, не имея жизни