問題タブ [cookieless]

googleのpagespeedアドオンに関するアドバイスに従って、静的コンテンツ（images、css、javascriptファイル）をCookieが存在しないサイトのサブドメインに移動しました。これにより、これらのファイルの各リクエストのリクエストヘッダーのスペースを節約できます。ただし、結果を見ると、このサブドメインに対してCookieがまだ作成されていることがわかります。私のサイトにはグーグルアドセンスがあり、www.example.comだけでなくルートドメイン*.example.comにCookieを書き込んでいます。

ルートドメインではなく、追加の表示に使用される正確なドメインにのみCookieを書き込むようにAdSenseに強制する方法はありますか？

cookieless= AutoDetect を持つ Web アプリケーションで単純な「Hello World」Web サービスを使用する。エラーなしで Web サービスを呼び出すことができません。Cookieless が False または True に設定されている場合、すべて問題ありません。前もって感謝します。

ユーザーが毎回パスワードを入力する必要はなく、パスワードをローカルに保存したくありません。ユーザーが最初にユーザー名とパスワードを送信したときに、パスワードのハッシュ化されたバージョン (パスワード + ソルトのハッシュ) を返信する予定です。これは、web サービスへの後続の呼び出しを承認するために使用される localstorage に格納されます。

ローカルストレージが侵害された場合 (電話の盗難など)、泥棒はトークンを盗み、ユーザーとして Web サービス呼び出しを行うことができますが、少なくともユーザーのパスワードはわかりません。

私が見落としている他の脆弱性はありますか? localstorage の代わりに Cookie に入れる理由はありますか?

固有の問題はないと確信していますが、Google とこのサイト全体を検索しましたが、探しているものに対する明確な答えが見つかりませんでした。そこで、この問題について何か助けが得られるかどうかを確認するために、自分自身を説明したいと思いました。

私たち (同僚と私) は、ユーザーがより生産的な方法で作業を完了するために複数のセッションを必要とするため、Cookie を使用しないセッションが必要であると判断しました。

例
Bob は、ウィンドウ A で実行時間の長いプロセスを開始した可能性があります。作業を続行するために、Bob は新しいセッションを生成するウィンドウ B を開きます。これは、ウィンドウ A で何が起こっているかを妨げないようにするために必要です。Bob は新しいウィンドウを開くたびに、再度ログインする必要があります。

問題
これが本当の問題なのかどうかよくわからないので、質問する理由があります。私が発見したと思う問題は、ボブがログインするたびに、現在のフォーム認証チケット (および Cookie) が上書きされることです。これで問題ないのか、Bob が 2 回目にログインした後も以前のセッションとウィンドウの組み合わせが有効である理由がわかりません。チケットが上書きされたということは、チケットが無効になったために最初のセッション/ウィンドウ コンボが終了するということではありませんか? これは以下に関するものです。

質問
では、フォーム認証チケット (および Cookie) が上書きされているため、これはどういう意味ですか?

• チケット (および Cookie) が上書きされていることに注意する必要がありますか?

• ログイン中に、チケット (存在する場合) を傍受して有効期限を確認する必要がありますか? 有効期限が切れていない場合、チケットを更新するか、新しいチケットを作成する必要がありますか?

  /li>

• Cookie を使用しないセッションを使用している場合、Cookie を使用しないフォーム認証も使用する必要がありますか? これを行うポイントは、各セッション/ウィンドウを互いに 100% 独立させることです。もう上書きは発生しません。これに引き返すことはありますか？思いつきません。

PS: Cookie は、キーと値のペアのように、格納されているものの単なるコンテナーであることはわかっています。

追加情報...

フォーム認証チケット:
IsPersistent を true に設定
チケット バージョン 2

フォーム Cookie:
キー = FormsCookieName (web.config タグから)
値 = ハッシュされたチケット

Web.Config:

Google の Page Speed プラグインのCookieless ドメインの提案を満足させようとしていますが、それが機能しない理由の詳細を気にすることができない私のホストとの壁にぶつかっています。st1.dgcstatic.comへのアクセスは、 st1.defunctgames.comへのアクセスと同じでなければなりません。ただし、そうではありません。

構成のステップを見逃していませんか? DNS の伝播を待つ必要がありますか? 私の実験の手順を以下に示します。

DNS セットアップ:

1. dgcstatic.com の st1.defunctgames.com を指す st1.dgcstatic.com の CNAME を作成しました。
2. defunctgames.com に st1.defunctgames.com の記録を作成
3. defunctgames.com に st1.defunctgames.com のサブドメインを作成

a を実行するtracert st1.dgcstatic.comと、次の結果が生成されます。

a を実行するhost st1.dgcstatic.comと、次の結果が生成されます。

そして最後に、このサイトを使用すると、正しく構成されたものを表示するのと同じ結果が得られるようです。

http://www.mxtoolbox.com/SuperTool.aspx?action=mx%3ast1.dgcstatic.com

これらすべての結果によると、世界は私のDNSの変更を見ることができます.一方、私のホストは、なぜこれが機能しないのかと尋ねられたとき、「伝播を待つ」というリグマロールを私に与えました.

iframeに表示されるサイト/アプリを作成しています。私は以前に何度もそれをしました、そしてそれは私に過去にたくさんの問題を引き起こしました...主な問題はクロスドメインクッキーがブロックされていることです。

同じルートドメイン名を使用し、document.domainを設定する必要があることはわかっています。しかし、素敵な新しいEU cookie法（それらは不十分です）とブラウザがプライバシーとセキュリティに関して向かっている一般的な方向性を考えると、iframeでセッションcookieを使用することはおそらくますます厄介になるでしょう。ですから、サイトを少し将来性のあるものにするために、Cookieをまったく使用せずに実装したいと思います。

これまでの実装では、クエリ文字列値を設定するだけで、すべてのページに渡されます。これは、ASP.NETのCookieなしのセッション機能と同じようなものだと思います。ただし、これは、誰かが公共のコンピューターを使用している場合、しばらくしてそれを使用している別の人が自分のURL（セッションIDを含む）を見つけてセッションを続行できることを意味します。このサイトは受け入れられない機密データを扱っているので。ASP.NETのCookieなしの機能には、同じ抜け穴があります（これにより、解決策を見つけることについて少し悲観的になります）。

私は.NETで開発していますが、これはすべての環境で一般的な問題である必要があります。

短縮版：

iframe内で実行されているCookieなしのサイトでセッション状態を維持する方法を知っている人はいますか（おそらくいくつかのベストプラクティスも）。ユーザーがブラウザを閉じるときは、セッションを効果的に強制終了する必要があるため、通常のセッションCookieの場合と同様に、ブラウザの履歴リストに情報が表示されないようにする必要があります。

考えられる解決策

私はこれらの線に沿って何かを考えています。しかし、それは最適にはほど遠いです。

1. このページは継続的にサーバーにキープアライブajaxリクエストを送信します
2. サーバーは、クエリ文字列に格納されているIDの最後のキープアライブ呼び出しでタイムスタンプを更新します
3. キープアライブのタイムスタンプが10秒以上経過すると、IDに関連するデータが強制終了され、ユーザーが現在無効になっているIDでURLに再度アクセスすると、「セッションがタイムアウトしました。最初からやり直してください」というメッセージが表示されます。

私は Cookie を使用しないセッションに取り組んでいます。URL を介して変数を渡すつもりはありませんが、window.name または非表示のフォームを使用しようとしています。window.name については、次のようにします。

したがって、この方法で session_id を追跡できます。非表示の入力フィールドを使用する場合、これと同様のことを行うと思います。そして今、window.name のこの変数 (session_id) を Cookie のように動作させたい - ユーザーがリンクをクリックすると、Web の別の部分に移動する => リクエストがサーバーに送信され、サーバーが応答し、ページが表示されます。このリクエストでは、post を使用して session_id をサーバーに送信したい (Cookie のように)-しかし、これを行う方法がわかりません。私は次のようなことを考えていました：

しかし、うまくいくとは思えません。また、前述のとおり、URL 書き換えを使用するつもりはありません。これを行う別の方法としては、非表示のフォーム タイプの投稿を作成し、リンクをクリックしてフォームのアクション (リンクの href) を設定し、データ: session_id を設定し、フォームのアクションをトリガーすることです。次のページのリクエストに従うために投稿を送信するアイデアはありますか? または、非表示のフォーム フィールドを使用して同じことを達成する方法は? どんな助けでも本当に感謝しています..

ドメインmap.ninux.orgの静的ファイルをロードするようにサブドメインstatic.map.ninux.orgを設定しました。目標は、Cookieのないドメインを持つことでした。

確認したところ、map.ninux.orgのGoogle Analyticsは、ドメイン「.map.ninux.org」でCookieを作成していることがわかりました。これは、何らかの理由でstatic.map.ninux.orgでも有効です。

この問題を解決するにはどうすればよいですか？

PS：このコードは正しいですか？

これでも、ホスト「.map.ninux.org」でCookieを取得します

mysqlデータベースを使用してセッションデータを保存し、SfGuardプラグインを使用して認証を管理するSymfonyアプリケーションがあります。そのsymfonyにもかかわらず、認証情報は常にCookieに保存されます。とにかくCookieを無効にして認証情報をデータベースまたはメモリに保存することはできますか？将来的には、認証状態が異なるドメインの複数のアプリケーション間で持続する、一種のシングルサインオン機能が必要になる可能性があります。そのため、私は主にCookieを使用する必要をなくしたいと思っています。

ご協力ありがとうございました。

example.com/staticではなくstatic.example.comからcssファイルとjavascriptファイルを提供するように環境を構成したいと思います。

2つ目は、実際のドメインに関係なく、比較的「static / reset.css」など、cssファイルとjavascriptファイルをロードするようにhtmlページをコーディングできるという便利さです。

変更するたびにすべてのソースファイルを変更しないようにするための良い習慣はありますか

static.example.comからstatic.otherexample.com

cssとjavascriptをインポートするすべてのHTMLソースファイルを書き直す必要があるので？