Tengo un servicio donde los webmasters pueden crear un sitio web (incluido el uso de javascript).
Un usuario puede colocar un comentario en el sitio web de un webmaster.
Un usuario solo necesita registrarse e iniciar sesión una vez y puede publicar comentarios en todos los sitios con esta cuenta. (1 cookie para todos los subdominios)
¿Cómo puedo evitar que un sitio web "malo" obtenga la cookie con JavaScript (por ejemplo, el ID de sesión)?
Después de un poco de investigación: cifrar las cookies es un no ir, bloquear ciertas funciones de javascript es un no go, vincular las cookies a ip es un no go.
Esto se convierte en un problema difícil, pero servicios como Blogger / Blogspot lo hacen, por lo que debe ser posible.
¿Alguien tiene una idea brillante?