| PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Post your PHP questions here! |
 |
09-05-2010, 22:10
|
|
c0restalker
Registrierter Benutzer
|
|
Registriert seit: Oct 2009
Beiträge: 66
|
|
Per iFrame Cookies abfragen?
Guten Abend,
ich wollte Frage, ob es möglich ist (wenn ja, evtl. Verweis auf eine Seite, Stichwort etc.) per iFrame Cookies auf folgende Weise auszulesen:
Besucher ist auf meiner Seite A und loggt sich per Iframe auf einer Seite B ein. Kann ich nun von meiner Seite A auf die gesetzten Cookies von Seite B des Users in irgendeiner Art und Weise zugreifen?
Über Antworten wäre ich sehr dankbar.
Gruß
c0restalker
|
09-05-2010, 22:15
|
 |
onemorenerd
 Moderator
|
|
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.481
|
|
Nein. Als Stichwort: same origin policy
|
09-05-2010, 22:16
|
wahsaga
Moderator
|
|
Registriert seit: Sep 2001
Beiträge: 24.486
|
|
Zitat:
Zitat von c0restalker
Besucher ist auf meiner Seite A und loggt sich per Iframe auf einer Seite B ein. Kann ich nun von meiner Seite A auf die gesetzten Cookies von Seite B des Users in irgendeiner Art und Weise zugreifen?
|
Wenn „Seite A“ und „Seite B“ unterschiedliche (Top Level) Domains bedeuten - nein, dann kannst du nicht zugreifen.
Höchstens, wenn du Phishing betreibst.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
|
09-05-2010, 22:22
|
|
c0restalker
Registrierter Benutzer
|
|
Registriert seit: Oct 2009
Beiträge: 66
|
|
Erstmal dankeschön für eure Antworten.
Gäbe es denn irgendeine andere Möglichkeit auf die Cookies zuzugreifen? Ohne jetzt XSS-Lücken auf den Seiten zu suchen meine ich.
Der Benutzer muss derzeit seine ganzen Login-Cookies per Hand auf meiner Seite eingeben, das wollte ich eigentlich dadurch vermeiden, dass sie per irgendeinem Script ausgelesen werden.
Gruß
|
09-05-2010, 22:30
|
|
onemorenerd
Moderator
|
|
Registriert seit: Mar 2005
Ort: Berlin
Beiträge: 9.481
|
|
Zitat:
Zitat von c0restalker
Gäbe es denn irgendeine andere Möglichkeit auf die Cookies zuzugreifen? Ohne jetzt XSS-Lücken auf den Seiten zu suchen meine ich.
|
Wenn es so eine Möglichkeit gäbe, wäre die SOP doch sinnlos, meinst du nicht? 
Du kommst nur an die Daten einer anderen Seite, wenn die andere Seite kooperiert (policy files, APIs, ...).
|
09-05-2010, 22:33
|
|
c0restalker
Registrierter Benutzer
|
|
Registriert seit: Oct 2009
Beiträge: 66
|
|
Zitat:
Zitat von onemorenerd
Wenn es so eine Möglichkeit gäbe, wäre die SOP doch sinnlos, meinst du nicht?
Du kommst nur an die Daten einer anderen Seite, wenn die andere Seite kooperiert (policy files, APIs, ...). |
Klar
Also dann vielen lieben Dank.
Muss ich mir was anderes einfallen lassen, ist halt blöd von über 5 Cookies die Values per Hand einzutragen.
Lieben Gruß
|
09-05-2010, 22:40
|
wahsaga
Moderator
|
|
Registriert seit: Sep 2001
Beiträge: 24.486
|
|
Zitat:
Zitat von c0restalker
Der Benutzer muss derzeit seine ganzen Login-Cookies per Hand auf meiner Seite eingeben
|
Wieso soll er sie denn überhaupt auf deiner Seite eingeben ...?
Wenn ich mich bei $facebooklikesocialnetwork einloggen will - dann mache ich das doch auf der Seite http://$facebooklikesocialnetwork.[com|de|whatever]/, und nicht über die Seite http://hierhatirgendeinschlaukopf$facebooklikesocialnetworkineinframeseteingebaut.[com|de|whatever]/
Nach deiner bisherigen Problembeschreibung willst du irgendeinen „Service“ anbieten, dessen Aktivität sich mit der namens Phishing ziemlich deutlich deckt;
oder du willst wirklich das, was onemorenerd schon andeutete - bei den „großen“ Netzwerken/Communities mitspielen, in dem du auf deren Inhalte/Datenbestände zugreifend eigenen Extra-Schnickschnack mit deren Genehmigung anbieten kannst.
__________________
I don't believe in rebirth. Actually, I never did in my whole lives.
|
09-05-2010, 22:44
|
|
c0restalker
Registrierter Benutzer
|
|
Registriert seit: Oct 2009
Beiträge: 66
|
|
Zitat:
Zitat von wahsaga
Wieso soll er sie denn überhaupt auf deiner Seite eingeben ...?
Wenn ich mich bei $facebooklikesocialnetwork einloggen will - dann mache ich das doch auf der Seite http://$facebooklikesocialnetwork.[com|de|whatever]/, und nicht über die Seite http://hierhatirgendeinschlaukopf$facebooklikesocialnetworkineinframeseteingebaut.[com|de|whatever]/
Nach deiner bisherigen Problembeschreibung willst du irgendeinen „Service“ anbieten, dessen Aktivität sich mit der namens Phishing ziemlich deutlich deckt;
oder du willst wirklich das, was onemorenerd schon andeutete - bei den „großen“ Netzwerken/Communities mitspielen, in dem du auf deren Inhalte/Datenbestände zugreifend eigenen Extra-Schnickschnack mit deren Genehmigung anbieten kannst.
|
Hatte ich doch schon erwähnt, dass es sich weder um XSS noch um Phishing oder sonst irgendwas handelt.
Es sollte mehr ein poc für mich sein, indem es darum geht, mittels einer Webanwendung sich auf eine Seite A einzuloggen, diese Cookies in Script B einzubinden und weiter in ein Gästebuch schreibt.
Gruß
|
09-05-2010, 23:23
|
AmicaNoctis
Moderatorin
|
|
Registriert seit: Jul 2009
Beiträge: 5.550
|
|
Hallo,
du kannst dem User deine Seite X zur Verfügung stellen und die bettet Code von Seite Y direkt (cURL+DOM) ein und verwaltet die Session/Cookies von Seite Y transparent, so dass der User nur mit Seite X kommuniziert und interagiert. 
Ich find (I)Frames nur doof.
Gruß,
Amica
__________________
Hast du die Grundlagen zur Fehlersuche gelesen? Hast du Code-Tags benutzt? 
Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
Super, danke! 
|
|
Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
|
|
|
| Themen-Optionen |
|
|
| Thema bewerten |
|
|
Forumregeln
|
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
HTML-Code ist aus.
|
|
|
|
PHP News
|
Alle PHP Scripte anzeigen 
Jetzt registrieren
Berni
