[TYPO3-german] ein login drei domains

Christoph Kuhn adonix at chrisk.ch
Tue Jul 10 14:39:44 CEST 2007 

Hallo Philipp

Am Dienstag, 10. Juli 2007 12:07 schrieb Philipp Eckelmann:
> das Problem fängt bereits beim Session-Cookie an.

Das dachte ich mir...
Aber ich hoffte, dass es irgendwo bereits eine fertige Lösung zum Problem 
gibt...

> Da Du jedoch niemals einen Cookie von einer fremden Seite auslesen kannst

... würde ich auch nie machen,...

> Eventuell könntest Du Dir eine AJAX-Lösung bauen, die Deinen Session-Key
> mit Deiner IP zur Laufzeit in eine Tabelle in der MySQL-Datenbank schreibt
> und beim Wechsel der Domain diese Information wieder ausliest und in Deinen
> Cookie zurück schreibt.

Hmm, Ajax ist mir noch zu wenig bekannt um solche Dinge anzugehen...

Ich hab mir aber noch vier Lösungsansätze ausgedacht:


1. Links, welche einen Domainwechsel auslösen, mit Cookiedaten erweitern

2. Login-Formular tweaken, so dass es beim Login der Reihe nach sich bei allen 
drei Domains anmeldet.

3. Beim setzen des Session-Cookies jedesmal skriptseitig von allen 3 Domains 
aus setzen.

4. Auf jeder Seite werden als Grafiken getarnte PHP Skripte von allen Domains 
abgerufen, welche das als Parameter übergebene Cookie setzen

Beim ersten ist wohl das Problem, dass Typo3 Core Code umgeschrieben werden 
muss (so dass die Cookiedaten auch per GET akzeptiert werden) und dass man 
plötzlich wieder ausgeloggt ist, wenn man in einem Fenster, welches vor dem 
Login auf einer anderen Domain stand, auf einen Link klickt...

Beim zweiten ist das Problem, dass zB in Domain2 die Session bereits 
abgelaufen sein kann, wenn man nach langem surfen auf Domain1 nach Domain2 
wechselt...

Die Lösung 3 habe ich momentan keine Idee, wie man das umsetzen könnte.

Nun zu Lösung 4:
Ein böser Hack könnte sein, dass die grafischen Buttons zum Wechsel zwischen 
den drei Domains jeweils von der entsprechenden Domain geholt werden, wobei 
ein php Skript aufgerufen wird, das das Cookie setzt und dann das Bild 
nachliefert. Diesem PHP Skript wird ein codierter Parameter übergeben, 
welchen er decodiert wiederum als Cookie setzt. Das wäre dann völlig 
ausserhalb von Typo3...

Was meint ihr dazu? Die letzte Lösung denke ich wäre relativ einfach 
umsetzbar, aber über die Sicherheit weiss ich nicht, ob das "verhebt" (für 
die nichtschweizer: "ob es den Sicherheitsanforderungen genügt und ich nicht 
irgendwas übersehen habe". Mann, musste ich jetzt lange studieren, um das 
eine kurze wörtchen nach Deutsch zu übertragen ;-))

Gruss

chris

More information about the TYPO3-german mailing list