robertroth: Same Origin Policy

Liebe Mitdenker, liebe Wissende, liebe Neugierige,

ich brauche mal praktische Hilfe, weil ich selber leider immer noch nicht wieder herumprobieren kann.

ich habe eine URL http://page1234.test
darin rufe ich ein Image auf mit http://page2222.test/img-blah.jpg?page1234.test
und weil ich http://page2222.test schon mal besucht habe, sendet mein Browser dorthin ein Cookie mit

geht das, oder klemmt das irgendwo?
(Ob der Punkt im Parameter codiert sein muss, weiß ich jetzt nict, kann er aber bei Bedarf.)

Spirituelle Grüße
Euer Robert
robert.r@online.de

--
Möge der wahre Forumsgeist ewig leben!
  1. Hallo,

    ich habe eine URL http://page1234.test
    darin rufe ich ein Image auf mit http://page2222.test/img-blah.jpg?page1234.test
    und weil ich http://page2222.test schon mal besucht habe, sendet mein Browser dorthin ein Cookie mit

    okay, und was ist daran spannend?

    geht das, oder klemmt das irgendwo?

    Natürlich geht das - das ist ein völlig normaler Vorgang, wie er täglich tausendfach vorkommt.

    (Ob der Punkt im Parameter codiert sein muss, weiß ich jetzt nict, kann er aber bei Bedarf.)

    Ich sehe keinen Grund, warum er codiert/maskiert sein müsste.

    Ciao,
     Martin

    1. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

      Hallo,

      ich habe eine URL http://page1234.test
      darin rufe ich ein Image auf mit http://page2222.test/img-blah.jpg?page1234.test
      und weil ich http://page2222.test schon mal besucht habe, sendet mein Browser dorthin ein Cookie mit

      okay, und was ist daran spannend?

      Dass das Bild von einer anderen Domain stammt, als das Stammdokument.

      Spirituelle Grüße
      Euer Robert
      robert.r@online.de

      --
      Möge der wahre Forumsgeist ewig leben!
      1. Hi,

        okay, und was ist daran spannend?

        Dass das Bild von einer anderen Domain stammt, als das Stammdokument.

        die Same Origin Policy ist AFAIK eine spezielle Javascript-Beschränkung. Andere Techniken sind davon meines Wissens nicht betroffen. Was du beschrieben hast, ist eine logisch zusammengehörende Menge von HTTP-Requests, die aber technisch unabhängig voneinander zu betrachten sind.

        Ciao,
         Martin

  2. Tach,

    ich habe eine URL http://page1234.test
    darin rufe ich ein Image auf mit http://page2222.test/img-blah.jpg?page1234.test
    und weil ich http://page2222.test schon mal besucht habe, sendet mein Browser dorthin ein Cookie mit

    geht das, oder klemmt das irgendwo?

    hängt ab von den Einstellungen des Browsers; in Firefox heißt das Cookies von Drittanbietern.

    mfg
    Woodfighter

  3. Hallo und guten Morgen Robert,

    ich brauche mal praktische Hilfe, weil ich selber leider immer noch nicht wieder herumprobieren kann.

    Gerne. Und endlich gute Besserung!

    ich habe eine URL http://page1234.test
    darin rufe ich ein Image auf mit http://page2222.test/img-blah.jpg?page1234.test
    und weil ich http://page2222.test schon mal besucht habe, sendet mein Browser dorthin ein Cookie mit

    geht das, oder klemmt das irgendwo?
    (Ob der Punkt im Parameter codiert sein muss, weiß ich jetzt nict, kann er aber bei Bedarf.)

    Nein, da scheint gar nichts zu klemmen. Ich habe das eben mal aufgebaut als Testkonstruktion zwischen zwei Domains von mir, die zur Zeit noch auf Belebung warten...

    Das ist klassisches Tracking. Auch der Einwurf von Woodfighter ist nutzlos. Man kann das Tracking auf diese Weise mit keinem der mir bekannten Browser unterdrücken. Einstellen kann man beim Firefox auch nur, ob und wann er Cookies annehmen soll. Ob er sie dann später mitsenden darf, wenn sie bereits angenommen wurden, kann man leider nicht einstellen, weder an Erstanbieter, noch an Fremdanbieter (das können dann auch "Zweitanbieter" sein :-P ).

    An den Fremdanbieter wird also sowohl der Request für das Bild (z.B. Fratzepage-Logo) gesendet, als auch die Parametrisierung, von welcher Seite es angefordert worden ist, als auch der Cookie von Fratzepage, der den User kennzeichnen kann.

    Und es hat gar keinen Sinn (bei Firefox), dass man dort Cookies "nur für diese Sitzung" akzeptiert, wenn man dann anschließend "weitersörft", ohne den Browser zwischendurch zu schließen oder alle Cookies zu löschen.

    Soviel also zur Anonymität im Web...

    Grüße
    TS

    --
    es wachse der Freifunk
    https://harz.freifunk.net
    1. Liebe Mitdenker, liebe Wissende, liebe Neugierige,

      Gerne. Und endlich gute Besserung!

      Danke.

      ich habe eine URL http://page1234.test
      darin rufe ich ein Image auf mit http://page2222.test/img-blah.jpg?page1234.test
      und weil ich http://page2222.test schon mal besucht habe, sendet mein Browser dorthin ein Cookie mit

      geht das, oder klemmt das irgendwo?
      (Ob der Punkt im Parameter codiert sein muss, weiß ich jetzt nict, kann er aber bei Bedarf.)

      Nein, da scheint gar nichts zu klemmen. Ich habe das eben mal aufgebaut als Testkonstruktion zwischen zwei Domains von mir, die zur Zeit noch auf Belebung warten...

      Das ist klassisches Tracking. Auch der Einwurf von Woodfighter ist nutzlos. Man kann das Tracking auf diese Weise mit keinem der mir bekannten Browser unterdrücken. Einstellen kann man beim Firefox auch nur, ob und wann er Cookies annehmen soll. Ob er sie dann später mitsenden darf, wenn sie bereits angenommen wurden, kann man leider nicht einstellen, weder an Erstanbieter, noch an Fremdanbieter (das können dann auch "Zweitanbieter" sein :-P ).

      An den Fremdanbieter wird also sowohl der Request für das Bild (z.B. Fratzepage-Logo) gesendet, als auch die Parametrisierung, von welcher Seite es angefordert worden ist, als auch der Cookie von Fratzepage, der den User kennzeichnen kann.

      Und es hat gar keinen Sinn (bei Firefox), dass man dort Cookies "nur für diese Sitzung" akzeptiert, wenn man dann anschließend "weitersörft", ohne den Browser zwischendurch zu schließen oder alle Cookies zu löschen.

      Soviel also zur Anonymität im Web...

      Danke nochmal. Dann habe ich meine Wette mit meinem Zimmernachbarn gewonnen :-)

      Spirituelle Grüße
      Euer Robert
      robert.r@online.de

      --
      Möge der wahre Forumsgeist ewig leben!