Thomas Schmieder: Auth ohne Cookies,ohne Basic Auth,ohne hidden fields

Beitrag lesen

SELF-Forum

Auth ohne Cookies,ohne Basic Auth,ohne hidden fields

Thomas Schmieder Homepage des Autors
Informationen zu den Bewertungsregeln

Hallo Michael, Halle Andreas,

Und ob das mit einem "Fake-Server" funktioniert
wage ich zu bezweifeln, denn dein Browser wird den
Teufel tun Cookies von dem "echten Server" an einen
"Fake-Server" zu senden!

Den hätte ich so eingestellt, dass er den gleichen Namen und die gleiche IP bekommt, wie die Origianl Domain. Dann muss man eben mal umstecken...
Wird nur auf der ARP-Ebene kurz für Verwirrung sorgen. Davon sollte doch aber HTTP nix mitbekommen, oder?

Das kommt darauf an, wie der Fake-Server funktioniert.

Was der dafür tun müßte, das wäre, die Cookies so um-
zuschreiben (!), daß
  a) sie an ihn wieder zurück gesendet werden und
  b) er aus ihnen wieder die Original-Cookies her-
     stellen kann.
Außerdem werden dann natürlich sämtliche Cookies von
Seiten, die getraced wurden, an den Proxy gesendet.
Dieser muß also diejenigen herausfinden, die er durch-
reichen soll, wenn er intelligent arbeiten will.

Mein Trace-Skript könnte das auch tun, aber es geht
nicht davon aus, daß es für eine komplette Session
verwendet wird. Es macht ja auch keine Sub-Requests
für Bilder, weil es dafür HTML parsen müßte usw.

Wenn Du allerdings im Apache via mod_proxy einen frem-
den Server in den URL-Raum Deines Servers einbindest,
dann macht mod_proxy genau das, was ich oben beschrie-
ben habe. Deshalb funktionieren bei dieser Einbindung
auch Anwendungen auf Cookie-Basis, obwohl sie unter
einem "falschen" DNS-Namen angesprochen werden.

Ein "reverse proxy" muß eben in _beide_ Richtungen den
kompletten HTTP-Traffic übersetzen, nicht nur in eine.

Auch ein Surf-Anonymizer muß auf diese Weise arbeiten,
wenn er Cookies unterstützen will.

Wenn Ihr für Dieses Thema nochmal etwas Zeit habt, würde ich die Diskussion gerne fortsetzen. Im Moment drängeln aber viele andere Probleme. Bei dem besagten Forum haben wir durch viel Denken, Whiteboard beschmieren und Zettelspiele die gewünschten Vorgänge analysiert. Es ging um ein intelligentes Anmeldeverfahren.

Übrigens zeigt der Netscape 7 auch die Speicher-Cookies an in seiner Cookieverwaltung. Das hat uns geholfen.

Liebe Grüße aus http://www.braunschweig.de

Tom

Beitrag melden
Informationen zu den Bewertungsregeln
0 20

Auth ohne Cookies,ohne Basic Auth,ohne hidden fields

Katja
  • php
  1. 0
    Cheatah
    1. 0
      Andreas Korthaus
      1. 0
        Thomas Schmieder
        1. 0
          Andreas Korthaus
          1. 0
            Thomas Schmieder
            1. 0
              Cheatah
              1. 0
                Thomas Schmieder
                1. 0
                  fastix
                2. 0
                  Andreas Korthaus
                  1. 0
                    Michael Schröpl
                    1. 0
                      Thomas Schmieder
    2. 0

      Auth ohne Cookies, ohne Basic Auth, ohne hidden fields

      Katja
      1. 0
        Cheatah
      2. 0
        Carsten
        1. 0
          Katja
          1. 0
            Christian Kruse
          2. 0
            Andreas Korthaus
          3. 0
            Carsten
            1. 0
              Cheatah