Domain A soll wissen das man auf Domain B eingeloggt ist

Dieses Thema im Forum "Technik und Co." wurde erstellt von Helga78, 25. Aug. 2020.

  1. Helga78

    Helga78 Bekanntes Mitglied Lizenzinhaber

    Wie stelle ich es an, dass ein Besucher eine Seite auf www.beispiel.com besucht und die Seite "weiß", dass der User auf www.beispielforum.com eingeloggt ist?

    Was kann ich wo bereitstellen, dass sich die Seiten austauschen?
     
  2. McAtze

    McAtze Innendienst Lizenzinhaber

    Da wirst du dir was programmieren müssen. Entweder was eigenes über SSO oder wenn es beides XF-Foren sind kannst du ja auch die API nutzen.

    Oder aber sowas hier: XenCentral Multisite System 2
     
    Zuletzt bearbeitet: 25. Aug. 2020
  3. Helga78

    Helga78 Bekanntes Mitglied Lizenzinhaber

    Hier ein Beispiel:

    Bernd kommt auf a.com, er ist nirgends eingeloggt und wird von einem 8000x8000 Pixel großem Banner darauf hingewiesen, dass er jetzt sofort auf b.com kommen soll.

    Sabrina ist bereits auf b.com registriert und eingeloggt, sie bekommt das Werbebanner auf a.com nicht zu sehen.

    Auf a.com gibt es nur eine Infoseite, keine Userverwaltung o.ä. - es geht nicht darum, Logindaten zu teilen. Ich möchte nur wissen, ob ein Besucher auf a.com ein reg. User auf b.com ist.

    Ich werde gleich mal testen, ob ich auf b.com eingeloggt bin, wenn es im iframe von a.com aufgerufen wird. Ich denke, ja. Bleibt die Frage, ob die Seite a nun irgendwelche Infos von der Seite b im iframe abrufen kann.

    Einfaches Beispiel Attachment als Thumb oder Vollbild ...
     
  4. V0RT3X

    V0RT3X Bekanntes Mitglied Lizenzinhaber

  5. Helga78

    Helga78 Bekanntes Mitglied Lizenzinhaber

    Ein Cookie ist an die Domaine gebunden.
    Bin jetzt bei localStorage, was aber wohl ebenso beschränkt, aber hochinteressant ist um ein Formular zwischenzuspeichern.
     
  6. Tealk

    Tealk Bekanntes Mitglied Lizenzinhaber

    Wobei Cookies und localStorage immer mehr eingeschränkt werden um den zügellosen Datensammeln ein wenig entgegenzuwirken.
     
  7. Hoffi

    Hoffi !important Lizenzinhaber

    Nur wenn a weiss, das es Sabrina ist.
    Um das richtig zu realisieren braucht es ein wenig mehr, geht aber.

    • Eine Weiterleitung zu b.com
      Hier leitest du auf b.com weiter, und teilst dabei direkt mit, wohin b.com zurück schicken soll. Auf b.com kann dann geprüft werden, ob eine vorhandene Session existiert und zurück leiten mit einem Parameter in der URL.
    Ist natürlich nicht so sicher, man müsste auch die Umgebungen gut konfigurieren um Missbrauch zu verhindern. Und wenn ich dne Parameter kann, könnte ich den ja von Hand anfügen.

    Das wäre aber eine einfache schnelle Lösung, die allerdings auch Sicherheitstechnisch vernünftig umgesetzt werden muss, um kein HiJacking usw. eine Plattform zu bieten.

    Cookies geht gar nicht, localStorage auch nicht mehr lange. Lasst da die Finger von. LocalStorage ist auch aus Security Sicht kein Bereich wo auch nur Ansatzweise irgendwelche Infos zur Authentifizierung drin stehen sollten.
     
    otto gefällt das.
  8. Helga78

    Helga78 Bekanntes Mitglied Lizenzinhaber

    Vielen Dank.
    Ich soll eine Weiterleitung machen wie:


    if status unbekannt
    header("Location: forum.com/erkennerscript.php?url");

    erkennerscript.php
    checke status
    header("Location: url?bekannt=0/1");

    if ($bekannt==1)
    echo "Hallo!";
    else
    echo "Holla";

    Fehlermeldungen von Virusprogramm, Browser-Schutzmethode, Maas&Spon?
    Was sagt Google hierzu?




    dann vielleicht doch lieber
    include c.com?setze cookie auf der Seite b.com

    und
    include c.com?lese cookie auf der Seite a.com




    LocalStorage ist für mich eine tolle Sache, einfach nur um Formularinhalte eines Kontaktformulars begleitend parat zu halten.
    Aus irgendeinem Grund beißt es sich aber noch mit einer Sicherheitsabfrage via $_SESSION, was ich soweit nicht verstehe, da das eine mit dem anderen doch gar nichts zu tun hat, oder?
     
  9. Hoffi

    Hoffi !important Lizenzinhaber

    Nicht ganz so trivial, aber ja.

    So funktioniert SSO in vielen Bereichen, über eine Zentrale Login Domain auf die immer weitergeleitet wird, und dann AccesTokens bzw. JWT zurückliefert. Muss nur vernünftig umgesetzt werden.

    Könntest du machen, aber!
    Wenn sich der User nicht ausloggt, wann wird der Cookie ungültig? Und was wenn der Cookie ungültig wird bevor sich der User ausloggt?
    Kann man die URL von Hand aufrufen und der Cookie wird gesetzt und man sieht das Banner dann als Gast auch nicht?

    PS: Wenn ein Script nativ auf $_SESSION zugreift, ist es zu alt und sollte dringend ersetzt werden. $_SESSION sollte ähnlich wie $_POST, $_GET, etc. immer durch einen Validator aufgerufen werden.

    Und ja, $_SESSION hat nichts mit LocalStorage zu tun. In $_SESSION stehen Serverseitig Session Informationen, LocalStorage ist auf dem Client.
     
  10. Helga78

    Helga78 Bekanntes Mitglied Lizenzinhaber

    Man muss also die ganze Seite erst zweimal umleiten?
    Ich kann nichts includen?



    Apropos zu tun haben: Warum läuft dieses Forum eigentlich noch auf 1.x?
     
    Zuletzt bearbeitet: 26. Aug. 2020
  11. mph

    mph Bekanntes Mitglied Lizenzinhaber

    Weil der Admin aus persönlichen Gründen momentan keine Zeit für ein Upgrade hat.
     
    otto und McAtze gefällt das.
  12. V0RT3X

    V0RT3X Bekanntes Mitglied Lizenzinhaber

    Warum upgraden, läuft doch allles und das stabil?
     
    otto und McAtze gefällt das.
  13. Helga78

    Helga78 Bekanntes Mitglied Lizenzinhaber

    Alles gut, ich wundere mich nur.
     
  14. V0RT3X

    V0RT3X Bekanntes Mitglied Lizenzinhaber

    Habe mir die Tage spasseshalber die Boards angesehen, mit denen XenForo auf ihrer neuen Homepage als Kunden wirbt, ein drittel von denen läuft noch mit 1.x

    Oder schau dich mal bei den Usern auf TAZ um, die grösseren Foren sind i.d.R. alles 1er. 2.x nutzen da eher die Newcomer, bzw. neugegründeten Seiten.

    Never change a running system...
     
  15. Helga78

    Helga78 Bekanntes Mitglied Lizenzinhaber

    Ja, jeder wie er mag. Ich wollte auf gar keinen Fall mehr zurück.
     
  16. V0RT3X

    V0RT3X Bekanntes Mitglied Lizenzinhaber

  17. McAtze

    McAtze Innendienst Lizenzinhaber

    Also 3 von 15 sind bei mir aber kein Drittel.. :p
    Auch das halte ich für ein Gerücht. Einige wenige großen sind noch bei XF1.5 aber die meisten sind zu XF2 gewechselt.
     
  18. V0RT3X

    V0RT3X Bekanntes Mitglied Lizenzinhaber

    Ich hab 4 gezählt (mit Template Bookmarklet) und bei einer Seite gar kein Forum gefunden :p
     
  19. Hoffi

    Hoffi !important Lizenzinhaber

    Leider im Web eine nicht nur falsche, sondern auch riskante Einstellung.

    Denn Systeme werden unsicher mit der Zeit, da in alten System immer wieder Sicherheitslücken entdeckt werden.

    Um sicher zu sein, sollte man immer nah am aktuellen Release sein. Dies gilt vor allem auch für PHP.

    Aber BTT:
    Ist nicht elegant, aber safe. Der Browser braucht auf beiden Domains eine aktive Session, und miteinander kommunizieren können die nicht mal eben. Wenn du etwas Serverseitig inkludierst, exitiert keine Browsersession.
     
    otto gefällt das.
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden