Dấu đơn trên cookie được xóa bởi phần mềm chống phần mềm gián điệp

Question

Chúng tôi có một dấu hiệu duy nhất về triển khai cho một nhóm trang web nơi cookie xác thực đến từ miền gốc (ví dụ: bar.com), cho phép họ đăng nhập vào miền con ví dụ: foo.bar.com). Việc triển khai thực hiện bằng C# bằng cách sử dụng xác thực biểu mẫu .net chuẩn.

Thật không may, một số người dùng của chúng tôi đang xóa cookie xác thực của họ bằng phần mềm chống phần mềm gián điệp. Tôi đã có thể tái tạo tình huống này bằng cách sử dụng PC Tools Anti Spyware và IE8.

Kết quả thực tế là người dùng đăng nhập vào trang web, điều hướng đến một trang khác và sau đó được yêu cầu đăng nhập lại.

Cookie được gắn cờ là cookie theo dõi rủi ro thấp bởi phần mềm chống phần mềm gián điệp.

Có cách nào để làm cho cookie trở nên ngon miệng hơn với thị hiếu dường như khá khó chịu của phần mềm chống phần mềm gián điệp của người dùng của chúng tôi không?

Cập nhật:

Tôi đã xem xét hàng đầu "." vấn đề và đó là cá trích đỏ. IE Doesn't care và, như tôi đã phát hiện qua this post, RFC 2965 Specification yêu cầu người triển khai cung cấp dấu chấm hàng đầu.

Đọc thêm dẫn tôi đến bài viết "Privacy alert: Cookie variants can be used to skirt blockers, anti-spyware tools". Về cơ bản, nhiều trang web đang sử dụng tên miền phụ như một cách ẩn cookie theo dõi.

Dường như một số phần mềm chống phần mềm gián điệp sẽ tôn trọng các tuyên bố P3P (Platform for Privacy Preferences) trên tên miền chính. Thật không may, do thiếu sự hỗ trợ từ những người triển khai trình duyệt, công việc đã bị đình chỉ trên P3P.

Ở giai đoạn này, tôi nghĩ giải pháp cho vấn đề sẽ là một người dùng được đề xuất: tên miền phụ sẽ cần phải tạo cookie xác thực của riêng mình.

Answer 1

Bạn có thể kiểm tra xem cookie xác thực của bạn có đang sử dụng miền .bar.com sẽ hoạt động tại www.bar.com, foo.bar.com, etc.bar.com.

Hành vi chính xác này là tùy thuộc vào trình duyệt nhưng đây là thực tiễn phổ biến để cho phép cùng một cookie trên nhiều tên miền phụ. Lưu ý rằng nếu cookie xác thực ban đầu của bạn được đặt là www.bar.com thì trình duyệt tốt sẽ từ chối nó cho foo.bar.com nhưng không phải cho foo.www.bar.com

Tôi có ý nghĩa gì không? :-)

Cập nhật: Hình như bạn có thể ghi đè lên domain trong phần <forms của Web.config của bạn, đây là một link. Tôi sẽ bắt đầu ở đó.

Answer 2

Bạn có thể kiểm tra các phương tiện mặc định trong thông số giao thức SAML SSO để có thêm ý tưởng. Lưu trữ với tất cả tài liệu ở đây là http://docs.oasis-open.org/security/saml/v2.0/saml-2.0-os.zip xem xét "Xác nhận và giao thức" cho mô tả giao thức và "Ràng buộc" cho các phương tiện vận chuyển có thể có (đặc biệt tại chuyển hướng và POST).

Ý tưởng chung là bằng cách nào đó truy vấn máy chủ SSO nếu người dùng hiện tại được xác thực và sau đó lưu vào bộ nhớ cache trạng thái đó bằng cookie của riêng mình. Bằng cách này, mọi ứng dụng chỉ đặt cookie trên tên miền riêng.

Answer 3

Tôi đã xây dựng một hệ thống như thế này. Có một tên miền đăng nhập (auth site).Nếu đăng nhập thành công, nó sẽ chuyển hướng người dùng từ trang xác thực đến trang web đã khởi tạo thông tin đăng nhập bằng mã thông báo một lần. Sau đó, trang web đó thiết lập cookie và bobs của riêng bạn chú của bạn. Khi bạn đăng xuất, bạn phải truy cập trực tiếp trang auth để xóa cookie như một phần của chuyển hướng quay lại trang web. Trang web của bạn sau đó xóa cookie của riêng nó. Hahaha hy vọng điều đó có ý nghĩa!