Post Request mit Cookies

Hallo NG,

es gibt eine Informationsseite von einer Firma die mit einem
Benutzername- und Passwortabfrage geschützt ist. Diese werden per POST
an eine PHP Seite übergeben. Wir haben von der Firma einen Sammelaccount
bekommen, mit dem man sich einloggen kann.

Nun ist es aber so das wir gerne eine eigene Benutzername- und
Passwortverwaltung haben wollen, und da ist die Idee das wir eine eigene
Abfrage auf eine von uns erstellte Datenbank machen, wenn ein Benutzer
gefunden wurde, dann senden wir mit PHP einen POST Request an die Seite
der Firma, womit der User dann mit den Sammelaccount-Daten dort
angemeldet wird, ohne das der User Benutzernamen und Passwort des
Sammelaccounts zu sehen bekommt.

Allerdings speichert die Seite lokal Session-Cookies ab, und die werden
bei dem Client ja nicht angelegt, weil sich ja quasi unser Server per
POST bei deren Seite anmeldet.

Gibt es da eine (andere) Lösung für, oder ist das garnicht realisierbar
mit Session Cookies.

Gruß!
Niels Tegtbauer [ Fr, 14 September 2007 10:24 ] [ ID #1820774 ]

Re: Post Request mit Cookies

Niels wrote:
> Hallo NG,
>
> es gibt eine Informationsseite von einer Firma die mit einem
> Benutzername- und Passwortabfrage geschützt ist. Diese werden per POST
> an eine PHP Seite übergeben. Wir haben von der Firma einen Sammelaccount
> bekommen, mit dem man sich einloggen kann.
>
> Nun ist es aber so das wir gerne eine eigene Benutzername- und
> Passwortverwaltung haben wollen, und da ist die Idee das wir eine eigene
> Abfrage auf eine von uns erstellte Datenbank machen, wenn ein Benutzer
> gefunden wurde, dann senden wir mit PHP einen POST Request an die Seite
> der Firma, womit der User dann mit den Sammelaccount-Daten dort
> angemeldet wird, ohne das der User Benutzernamen und Passwort des
> Sammelaccounts zu sehen bekommt.
>
> Allerdings speichert die Seite lokal Session-Cookies ab, und die werden
> bei dem Client ja nicht angelegt, weil sich ja quasi unser Server per
> POST bei deren Seite anmeldet.
>
> Gibt es da eine (andere) Lösung für, oder ist das garnicht realisierbar
> mit Session Cookies.

Ihr spielt einfach weiter Proxy und legt eigene Sessions an. Euer Server
stellt seinerseits die Anfrage mit dem richtigen Session-Cookie an den
Server des Anbieters und leitet die Antworten jeweils weiter.

Ich vermute so etwas ist mit Hilfe eines Proxies einfacher umzusetzen
als mit PHP, würde ich mal recherchieren.


Alternativ könntest Du es mit DNS-Spoofing versuchen:

Täuscht eine eigene Subdomain unterhalb des Hostnamens des Anbieters vor
und lege dort Deine Loginmaske an. Nach der Anmeldung setzt Du dann den
echten Cookie des Anbieters für die übergeordnete Domain und leitest auf
den Anbieter um. Wenn Du das nicht an eurem Name-Server machen kannst
oder willst, mach einen Eintrag in der Datei hosts. Aber vergewissere
Dich genau an wen der Cookie dann noch geht, der ihn gar nicht bekommen
soll. Diese Alternative kann einen Angriff erleichtern und ein
Sicherheitsrisiko sein!

Heiko
--
http://portal.richler.de/ Namensportal zu Richler
http://www.richler.de/ Heiko Richler: Computer - Know How!
http://www.richler.info/ private Homepage
Heiko Richler [ Fr, 14 September 2007 12:14 ] [ ID #1820779 ]
PHP » de.comp.lang.php.misc » Post Request mit Cookies

Vorheriges Thema: allow_call_time_pass_reference = Off und trotzdem by reference?
Nächstes Thema: File Upload

[ Startseite ] [ Administrator ] [ Suche ] [ Hinweise ] [ Impressum ]

Powered by FudForum