Actualmente tenemos 2 sitios http://www.foo.co.uk
y https://secure.foo.com
.
El sitio www no tiene un certificado SSL y está en un dominio diferente.
Tenemos un botón de inicio de sesión en http://www.foo.co.uk
que cuando se hace clic abre un iframe de https://secure.foo.com
con un formulario, cuando el usuario inicia sesión crea una cookie de sesión en ese dominio ( foo.com
).
La cookie de la sesión debe copiarse a foo.co.uk
para que lo redireccione a http://www.foo.co.uk/setcookie.php?session=abcd1234
, lo que nos permite configurar la misma cookie en el dominio de origen.
Esta no es una solución muy segura, así que he estado investigando cómo hacerlo mejor. La mejor idea que he encontrado es enviar un hash usando algo como HMAC
junto con los parámetros al script setcookie.php y luego verifíquelo en el otro extremo antes de crear la cookie.
Si bien esto es mejor, no impide que el hombre en el medio ataque. Teniendo en cuenta que www no tiene seguridad SSL, no creo que pueda evitarlo por completo, por lo que lo mejor sería incluir una marca de tiempo en el hash para que sea válida durante 5 minutos.
¿Alguien tiene alguna idea sobre cómo puedo mejorar esto, o señala algún inconveniente con este enfoque? Estaría muy agradecido.