Fremde cookies auslesen

ich hab das problem das einige games auf mehreren servern gespeichert sind.
also möchte ich druch überprüfen von cookies einige sicherheitslücken ausschliessen
leider muss ich ein cookie von pagueon.de auf einem anderen server auslesen...
und ich hab kein plan wie ich das mache... ich weiss das es geht, weiss abwer net mehr wie

Dies geht nicht. Ansonsten wäre es ja eine Sicherheitslücke, da du das Login-Cookie von GMX.net zum Beispiel von deinem Spiel auslesen könntest.

Sicherheitslücken.. Cookies? Da steckt ein anderer Zusammenhang dahinter.. Cookies sind böse. Für irgendwelche "Sicherheitsmerkmale" denklich ungeignet.. und zudem wie oben gesehen durch einen Server beschränkt.
Sessions lösen dies wunderbar, einmal abgesehen dass es nicht viel Sinn macht, eine Anwendung auf mehrere sichtbare(!) Server zu verteilen.. evtl ein Loginserver, aber dann _muss_ man die Session zwangsläufig durchreichen. Es bleibt ja immerhin ein Client-Server-Anwendungsgebiet, und keine MultiClient-Server Angelegenheit..

> Sicherheitslücken.. Cookies?
Wenn die Website A in der Tat die Cookies der Website B auslesen könnte, wäre es in der Tat eine Sicherheitslücke.

Nein, der Op will wahrscheinlich eine Sicherheitslücke bezgl seines Spieles per Cookie "ermitteln".
Und ich meinte, das eben die Sicherheitslücke ganz woanders im Zusammenhang mit Cookies zu suchen ist..
Es gibt heute tatsächlich noch BGs, die per Cookie die (relevante) Userid speichern, und so ein Quark..

Vielleicht eine dumme Frage, aber wie will man ohne User-ID und Passwort (natürlich md-5 gehasht) solche Sachen wie Auto-Login realisieren? Finde nichts schlimmer, als mich jedesmal selber einloggen zu müssen.
Gibts da (sichere) Alternativen dazu?

Ohne es zu wissen, aber kann man dem Client nicht einfach ein falsches http Protokoll senden und dieser sendet dann die Werte eines anderen Cookies?

Ich habe keine Ahnung, ob das geht, aber wenn, ist es bestimmt nicht plattformunabhängig usw.
Wenn man schon dazu greifen muss, das http-Protokoll zu manipulieren bzw. Dinge zu tun, die so einfach nicht vorgesehen sind (Cookie von Server A auf Server B auslesen) dann deutet das mit der Unauffälligkeit eines Kernwaffentests auf einen Desingfehler hin.
Beste Lösung: Wegwerfen, neu machen ;-)
(Dass Cookies manipulierbar sind und deswegen bestimmt nicht geeignet, irgendwie Sicherheitstests zu machen, versteht sich von selbst. Cookies sind Daten vom User und deswegen per definitionem böse und Schadcode)

Original von kudi
Ohne es zu wissen, aber kann man dem Client nicht einfach ein falsches http Protokoll senden und dieser sendet dann die Werte eines anderen Cookies?

Spontan: Entweder dies als Cookie ablegen oder eine Serial generieren, die zB einen Monat für diesen Account gültig ist.

Original von knalli
Sessions lösen dies wunderbar, einmal abgesehen dass es nicht viel Sinn macht, eine Anwendung auf mehrere sichtbare(!) Server zu verteilen.. evtl ein Loginserver, aber dann _muss_ man die Session zwangsläufig durchreichen. Es bleibt ja immerhin ein Client-Server-Anwendungsgebiet, und keine MultiClient-Server Angelegenheit..

Sessions basieren doch auch auf Cookies oder auf ein Druchreichung in der URL. Demnach ist beides relativ unsicher, oder habe ich wieder was übersehen?

Versuche deine Server auf Subdomains zu verteilen (s1.spiel.de/, s2.spiel.de etc.). Dann sollte es meines Wissens nach möglich sein, den Cookie auszulesen, zumindest habe ich mein meinem SPiel da unabsichtlich merkwürdige Anomalien entdeckt (wenn ich mich beim Testserver, der auf ner Subdomain liegt, einlogge, bin ich mein normalen Spiel ausgeloggt, weil dann der Login nicht mehr stimmt).
Cookies sind in der Tat ein recht unsicheres Mittel, daher würde ich auch keine Daten dort speichern, die für sich alleine sensibel sind. Session-ID's zum Beispiel immer nochmal mit der IP prüfen, dann können die auch nur extrem schwer gehijackt werden...
Autologins laden ja gerade dazu ein, nen kleinen Bot zu schreiben, der zufällig zu einer bestimmten Zeit den IE mit ner ganz bestimmten Seite startet...
Bei Spielen, wo man mit einer total simplen KI nen grossen Vorteil bekommt, würde ich sowas eh nicht machen, bei total komplexen Spielen, wo man wirklich ein Hirn brauch, um gut zu sein, ist die Gefahr weniger gross....

Original von knalli
Es gibt heute tatsächlich noch BGs, die per Cookie die (relevante) Userid speichern, und so ein Quark..

davon mal abgesehen dass sessions im normalfall auch per cookie gespeichert werden...

Wahlweise per URL oder Sessioncookie (ich glaube, man kann dies gar nicht verhindern?) wird der Session-Identifier (Sessionid) auf dem Client gespeichert.
Ich kann natürlich auch nicht mit Server 1 (=Anwendung 1) eine Session öffnen, und mit Server 2 (=Anwendung 2) diese öffnen. Das darf auch theoretisch nicht möglich sein.. hallo, wo wären wir da..

Das kommt auf den Gültigkeitsbereich des Cookies an. Wenn der Cookie für ".mydomain.de" gültig ist, können alle Server "*.mydomain.de" darauf zugreifen, gibt man explizit "www.mydomain.de" an, gilt das natürlich nicht.
Das Problem ist allerdings, daß die "Privacyeinstellungen" vieler Browser Cookies mit dem Gültigkeitsbereich ".mydomain.de" sofort verwerfen.

danke habs ..... und funzt wunderbar^^

Und wie machtst du es nun? ...

Ich nehme an so wie Itchy das gesagt hat.
Du solltest den Hinweis geben, dass man dazu alle Kekse zulassen muss.

lol wenn nicht kommt ein error und dann hat man pech^^

Original von Browser-Games World
lol wenn nicht kommt ein error und dann hat man pech^^

ich glaub, dann hast eher du pech, wenn keiner mehr dein spiel spielt.