Legalidad de la cookie (establecida por otros sitios) de seguimiento

Navega tus respuestas
0

He creado un sitio web A que solicita un nombre de usuario & contraseña, existe otro sitio web de código cerrado B que nuevamente solicita credenciales de inicio de sesión. Un usuario usa ambos sitios web. Quiero implementar el SSO de una manera que, de ser así, si el usuario se autentica en el sitio web B, mi sitio web A permite al usuario omitir la interfaz de inicio de sesión. Para ello, deberá verificar una cookie válida establecida por el sitio web B en el navegador del cliente (javascript) & descifrar (en caso de que la cookie esté encriptada). Pero quiero saber eso : -

  • ¿Es legal leer la cookie establecida por otros sitios web (en mi contexto)?
  • ¿Es legal descifrar las cookies para verificar (no alterar los datos de las cookies, solo leer de forma no maliciosa)?

¿el propietario del sitio web puede demandar legalmente al propietario del sitio web A?

    
pregunta Puneet S. Chauhan 21.11.2014 - 06:43
fuente

2 respuestas

4

A menos que "sitio web A" y "sitio web B" sean ambos subdominios del mismo dominio, es imposible lo que se quiere hacer; si son subdominios del mismo dominio, la misma persona u organización presumiblemente controla ambos. En consecuencia, la legalidad es irrelevante.

    
respondido por el Mark 21.11.2014 - 07:54
fuente
3

Las cookies dependen del dominio. No decides, desde el lado del servidor, qué cookie lees; El navegador envía las cookies almacenadas que coinciden con el nombre (con dominio) del servidor de destino.

Si desea compartir alguna autenticación de alguna manera SSO, entonces necesita ambos servidores A y B para delegar la autenticación a un tercer servidor común C. Ese servidor hará el diálogo de inicio de sesión y contraseña, y almacenará una cookie en el navegador. Ni A ni B verán esa galleta. En su lugar, se comunican directamente con el servidor C para saber quién está en el otro extremo de la línea. Así es como funciona OpenID . Por cierto, eso es lo que se usa para autenticarse con los sitios de StackExchange: cuando dicen "iniciar sesión con Facebook", esto significa que un servidor de Facebook hará la autenticación, y los servidores de StackExchange no verán la contraseña ni ninguna cookie de Facebook. / p>

Otro método consiste en instalar un sitio de front-end D que usted controla, y realiza la autenticación, y reenvía todas las solicitudes y respuestas al sitio A o al sitio B, reescribiendo todas las URL dentro del HTML Mantener su posición como intermediario. Algunos proveedores ofrecen dispositivos que realizan ese trabajo (por ejemplo, NetIQ , pero no son los únicos en ese mercado). Por supuesto, esto significa que desde el punto de vista del usuario final, todos los contenidos son atendidos por el sitio D, no A o B; el propietario de B podría demandarlo por reproducción no autorizada o plagio (otra cuestión es si ganarían).

    
respondido por el Tom Leek 21.11.2014 - 15:19
fuente

Lea otras preguntas en las etiquetas

Confusión sobre un servidor de seguridad y un proxy ¿Hay un Honeypot HeartBleed para que pueda hacerlo? [cerrado]