Prenašanje cookijev med poddomenami

Imam dva serverja, domena.si (kjer teče samo https) in poddomena.domena.si.

Na domena.si teče ASP.net in ta server (preko https) pošilja cookije browserju. Na poddomena.domena.si pa teče PHP.

Zanima me, ali je možno, da bi strežnik http://poddomena.domena.si videl cookije od strežnika https://domena.si?

Za strežnik piškota nastaviš ".domena.si" in ga bodo prejele vse poddomene.

setcookie ("piskot", "", time() + 3600, "/", ".domena.si", 1);

Vendar moraš paziti na Apache nastavitev, ker če mora tudi tam biti ".domena.si". Oz. ni vedno nujno, priporočljivo pa je, da tudi strežnik ve, kaj mora nastaviti.

Oba morata imeti domeno nastavljeno na ".domena.si". V nasprotnem primeru ti brskalnik ne dovoli ogleda piškotov drugih poddomen.

ASP.Net primer:

HttpCookie cookie = new HttpCookie("name", "value");
cookie.Domain = ".domena.si";

Če se gre za kakšne session piškote, pa nisem prepričan, da si lahko .NET in PHP delita.

Session po drugi strani je samo en hack, ker je HTTP stateless in bi bilo pretezko vsakic vse posiljati. Dejanski podatki so zdaj shranjeni na strezniku (v datoteki, bazi ali kakorkoli ze) in ne rabis tega server->client, client shrani, client->server roundtripa. S pomocjo Session ID-ja (ki je lahko cookie) samo poves "spet sem jaz" (se vedno gre za isto sejo). Torej to je kot neka referenca na podatke na serverju. Poleg tega, da je tako hitreje, je benefit je tudi, da si siguren, da je tisto kar si shranil na serverju vedno enako. Cookie bi lahko nekdo z zlobnimi nameni v browserju vmes spremenil.
Moras pa seveda zagotoviti, da session ID ni enostavno uganljiv (ker bi sicer lahko nekdo prisel do napacnih podatkov).

V bistvu lahko rečeš ASP.Netu, da shrani session-e v bazo.
Potem mu rečeš še, da naj session kuki shrani pod ".domena.si".

Pri PHPju pa lahko rečeš, da ima ASP.Net session kuki pod ".domena.si" in mu poveš da so podatki v isti bazi.

Tako si lahko potem po poddomenah različni jeziki delijo session ... ampak je potrebno kar nekaj dodatne kode.

Če ima domena "domena.si" kakšno napako, lahko vrineš JS, ki prebere kuki in z JSjem izpišeš kuki, ki se poveže na PHP. (Recimo http://poddomena.domena.si/x.php?sessio...

Prvotno domeno pa lahko tudi dobiš preko iframe (Recimo http://domena.si/neka_stran.aspx?x=--sc.... Ampak za to moraš na IIS strežniku poslati prirejen header, da bo IE6 poslal kukije v iframe.

OK, gremo na naslednjo stopnjo.

Check this:

ping localhost.nlb.si
PING localhost.nlb.si (127.0.0.1) 56(84) bytes of data.
64 bytes from localhost (127.0.0.1): icmp_seq=1 ttl=64 time=0.035 ms
64 bytes from localhost (127.0.0.1): icmp_seq=2 ttl=64 time=0.062 ms

In to seveda ni osamljen primer...

Naslednji korak je...

box1/term1: nc -l -p 4444 -e cmd.exe localhost.nlb.si
box1/term2: nc localhost.nlb.si 4444

... krneki :)

Tako si lahko potem po poddomenah različni jeziki delijo session ... ampak je potrebno kar nekaj dodatne kode.

Ja, sej mariskaj lahko nacaras. Naceloma lahko tudi objektno programiras v C-ju, kljub temu da sam jezik ni objekten.

Ampak v tem konkretnem primeru to potem ni vec "seja" z istim streznikom (v omenjenem primeru sta oba web serverja celo na razlicnih racunalnikih in je vse skupaj se vecji hack). V bistvu ti koncept "seje" grdo zlorabis in uporabljas session, ki pa to sploh ni vec.

Kar se tice localhost.nlb.si. Da mora biti v vsaki .si domeni localhost A record, ki kaze na 127.0.0.1 je bil requirement s strani ARNES-a, ki ga tudi preverjajo oz. vsaj vcasih so ga (Beri: http://www.arnes.si/domene/vpis_dns.html ). Pomoje bi bilo prav, da zna nameserver nujno resolvati "localhost." ne pa "localhost.domena.si."

Tisto od Tavisa sem se ze dolgo nazaj prebral na njegovem blogu. V bistvu je napad precej omejen (je pa vseeno zanimiv).

Ti imas masino v podjetju (foobar.something.org) na kateri ima vec uporabnikov accounte. Tam potem napadalec pozene svoj webserver (na portu > 1023, ker ni root). Ljudem, ki imajo account na istem racunalniku poslje mail v stilu "hej, pridite na localhost.domena.si:1024". Ce berejo mail na istem racunalniku se bo localhost.domena.si resolval v 127.0.0.1 in bodo pristali na napadalcevem spletnem strezniku. In to kljub temu, da je domena.si neka cisto druga zadeva. Localhost je pac vedno localhost.
Trik zdaj je, da browser misli "ok komuniciram z nekaj.domena.si", torej ce ima uporabnik kaksen cookie za ".domena.si" ga bo poslal tudi napadalcevemu strezniku. Ne glede na to, da je bilo tisto mogoce misljeno samo za streznik na http://domena.si. Problem je tista . spredaj, ki pomeni tudi za vse poddomene. No lahko je pa seveda vse skupaj tudi namerno, ampak nihce seveda ni mislil da je tudi localhost.domena.si pod domena.si in kaze nekam, kar ni nujno pod kontrolo istih ljudi.

Aja ACROS so pogruntali oz. opisali session fixation. Zanimivo, nisem vedel.

Jah seveda, še malo bodo rekli, da naj login.domena.si usmerimo na njihov strežnik?

Pomoje je glede tega najbolje kontaktirati ARNES. Drugace imam tudi jaz zacasno se tako, da localhost.mojadomena.si kaze na A 127.0.0.1 in AAAA ::1 record. Na mojadomena.si itak nimam nobene spletne storitve pri kateri bi se dalo krasti cookije. Je pa po drugi strani se zmeraj treba na vecuporabniski masini zvabiti uporabnika na to fake stran. Tako da kar se tega tice recimo upravljalec strani mojadomena.si ni prakticno nicesar kriv. Mislim ni tako, da bi se XSS nad uporabniki izvajal zaradi tega, ker bi on prikazoval zloben JS od napadalca ali kaj takega.

Se pravi problem ni samo localhost, vedno ko nekomu das poddomeno, moras paziti na to, da imas recimo pri sebi setiras cookije za "domena.si" in ne ".domena.si".

Tega ne preverjajo že zelo dolgo. Po letu 2004 nobena moja .si domena nima več tega, pa "grejo skozi" pri ARNESu.