Почему отключение сторонних файлов cookie не блокирует сайты аутентификации, LiveID, OpenID и т. Д.

Question

Почему отключение сторонних файлов cookie не блокирует сайты аутентификации, LiveID, OpenID и т. Д.

Стараюсь не делать это политическим, но мне нужно объяснить свою мотивацию, чтобы помочь тем, кто может на это ответить.

Я некоторое время наблюдал за захватом нейтралитета Google/Verizon. Недовольный их объявлением, я решил, что пришло время не вознаграждать Google, пассивно выбирая их усилия по извлечению данных.

Я предполагал, что переключение поисковых систем и отключение сторонних файлов cookie будет хорошим шагом.

Меня смущает то, что сайты аутентификации, такие как LiveID, OpenID и т. Д., Все еще работают. Может кто-нибудь объяснить, почему это так? Я бы подумал, что, поскольку это разные домены, это не сработает.

3

security cookies openid

Источник

user12491 10 авг '10 в 19:43

2 ответа

Решение

Я думаю, что эти сайты используют СЕРТИФИКАТЫ и общие учетные данные, а не куки. Вы можете прочитать больше здесь.

2

Источник

JNK 10 авг '10 в 19:46

Другие вопросы по тегам security cookies openid

SysAdmin1138 10 авг '10 в 21:28 2010-08-10 21:28 · Accepted Answer · 2010-08-10 21:28

Использование файлов cookie openID зависит от проверяющей стороны. В общем, это работает так:

Пользователь отправляет URL проверяющей стороне OpenID
Проверяющая сторона проверяет URL для информации OpenID
Проверяющая сторона обнаруживает Аутентифицирующую сторону, сообщает стороне, что пользователь желает пройти аутентификацию.
Аутентифицирующая сторона проверяет, аутентифицирован ли пользователь (куки: сайт аутентификации проверяет свои собственные куки).

Если пользователь вошел в систему, проверяющий сайт может создавать собственные файлы cookie в своем собственном домене.

Если пользователь не вошел в систему:

Пользователь перенаправляется на страницу входа участника аутентификации.
Если пользователь успешно входит в систему, сторона, проводящая аутентификацию, устанавливает все необходимые ему куки-файлы и сообщает проверяющей стороне, что пользователь аутентифицирован.
Проверяющая сторона устанавливает любые файлы cookie, которые им необходимы, и позволяет пользователю войти.

Обратите внимание на отсутствие каких-либо сторонних файлов cookie. Насколько я понимаю, LiveID работает во многом таким же образом: серверы аутентификации LiveID информируют сторонний сайт о том, что пользователь успешно вошел в систему и как он вошел в систему, что позволяет стороннему серверу взаимодействовать с пользователем. как будто они вошли локально.