Guten Abend,

ich wollte Frage, ob es möglich ist (wenn ja, evtl. Verweis auf eine Seite, Stichwort etc.) per iFrame Cookies auf folgende Weise auszulesen:
Besucher ist auf meiner Seite A und loggt sich per Iframe auf einer Seite B ein. Kann ich nun von meiner Seite A auf die gesetzten Cookies von Seite B des Users in irgendeiner Art und Weise zugreifen?

Über Antworten wäre ich sehr dankbar.
Gruß

c0restalker

Nein. Als Stichwort: same origin policy

Besucher ist auf meiner Seite A und loggt sich per Iframe auf einer Seite B ein. Kann ich nun von meiner Seite A auf die gesetzten Cookies von Seite B des Users in irgendeiner Art und Weise zugreifen?
Wenn „Seite A“ und „Seite B“ unterschiedliche (Top Level) Domains bedeuten - nein, dann kannst du nicht zugreifen.

Höchstens, wenn du Phishing betreibst.

Erstmal dankeschön für eure Antworten.
Gäbe es denn irgendeine andere Möglichkeit auf die Cookies zuzugreifen? Ohne jetzt XSS-Lücken auf den Seiten zu suchen meine ich.
Der Benutzer muss derzeit seine ganzen Login-Cookies per Hand auf meiner Seite eingeben, das wollte ich eigentlich dadurch vermeiden, dass sie per irgendeinem Script ausgelesen werden.


Gruß

Gäbe es denn irgendeine andere Möglichkeit auf die Cookies zuzugreifen? Ohne jetzt XSS-Lücken auf den Seiten zu suchen meine ich.
Wenn es so eine Möglichkeit gäbe, wäre die SOP doch sinnlos, meinst du nicht? ;)

Du kommst nur an die Daten einer anderen Seite, wenn die andere Seite kooperiert (policy files, APIs, ...).

Wenn es so eine Möglichkeit gäbe, wäre die SOP doch sinnlos, meinst du nicht? ;)

Du kommst nur an die Daten einer anderen Seite, wenn die andere Seite kooperiert (policy files, APIs, ...).

Klar ;)
Also dann vielen lieben Dank.
Muss ich mir was anderes einfallen lassen, ist halt blöd von über 5 Cookies die Values per Hand einzutragen.

Lieben Gruß

Der Benutzer muss derzeit seine ganzen Login-Cookies per Hand auf meiner Seite eingeben
Wieso soll er sie denn überhaupt auf deiner Seite eingeben ...?

Wenn ich mich bei $facebooklikesocialnetwork einloggen will - dann mache ich das doch auf der Seite http://$facebooklikesocialnetwork.[com|de|whatever]/, und nicht über die Seite http://hierhatirgendeinschlaukopf$facebooklikesocialnetworkineinframeseteingebaut.[com|de|whatever]/

Nach deiner bisherigen Problembeschreibung willst du irgendeinen „Service“ anbieten, dessen Aktivität sich mit der namens Phishing ziemlich deutlich deckt;
oder du willst wirklich das, was onemorenerd schon andeutete - bei den „großen“ Netzwerken/Communities mitspielen, in dem du auf deren Inhalte/Datenbestände zugreifend eigenen Extra-Schnickschnack mit deren Genehmigung anbieten kannst.

Wieso soll er sie denn überhaupt auf deiner Seite eingeben ...?

Wenn ich mich bei $facebooklikesocialnetwork einloggen will - dann mache ich das doch auf der Seite http://$facebooklikesocialnetwork.[com|de|whatever]/, und nicht über die Seite http://hierhatirgendeinschlaukopf$facebooklikesocialnetworkineinframeseteingebaut.[com|de|whatever]/

Nach deiner bisherigen Problembeschreibung willst du irgendeinen „Service“ anbieten, dessen Aktivität sich mit der namens Phishing ziemlich deutlich deckt;
oder du willst wirklich das, was onemorenerd schon andeutete - bei den „großen“ Netzwerken/Communities mitspielen, in dem du auf deren Inhalte/Datenbestände zugreifend eigenen Extra-Schnickschnack mit deren Genehmigung anbieten kannst.

Hatte ich doch schon erwähnt, dass es sich weder um XSS noch um Phishing oder sonst irgendwas handelt.
Es sollte mehr ein poc für mich sein, indem es darum geht, mittels einer Webanwendung sich auf eine Seite A einzuloggen, diese Cookies in Script B einzubinden und weiter in ein Gästebuch schreibt.

Gruß

Hallo,

du kannst dem User deine Seite X zur Verfügung stellen und die bettet Code von Seite Y direkt (cURL+DOM) ein und verwaltet die Session/Cookies von Seite Y transparent, so dass der User nur mit Seite X kommuniziert und interagiert. :dontknow:

Ich find (I)Frames nur doof.

Gruß,

Amica