abo*_*021 9 .net cookies spyware single-sign-on
我们对一系列网站的实施有一个单一的标志,其中认证cookie来自根域(例如bar.com),允许他们登录到子域(例如foo.bar.com).使用标准.net表单身份验证在C#中实现.
不幸的是,我们的一些用户正在通过反间谍软件删除他们的身份验证cookie.我已经能够通过使用PC Tools Anti Spyware和IE8重新创建这种情况.
实际结果是用户登录网站,导航到另一个页面,然后再被要求登录.
该cookie被反间谍软件标记为低风险跟踪cookie.
有没有办法让cookie更适合我们用户的反间谍软件显然相当挑剔的口味?
更新:
我调查了领先的"." 问题,这是一个红鲱鱼.IE不关心,正如我通过这篇文章所发现的那样,RFC 2965规范要求实现者提供一个领先的点.
进一步阅读引导我阅读文章"隐私警报:Cookie变体可用于限制屏障,反间谍软件工具".从本质上讲,许多网站都使用子域作为隐藏跟踪cookie的方式.
看起来一些反间谍软件会尊重父域上的P3P(隐私首选项平台)声明.遗憾的是,由于浏览器实现者缺乏支持,P3P上的工作已暂停.
在这个阶段,我认为问题的解决方案将是一个用户建议:子域将需要创建自己的身份验证cookie.
| 归档时间: |
|
| 查看次数: |
358 次 |
| 最近记录: |