Хабрахабр: Метки / cookies

PHP / [Из песочницы] Используем $_COOKIE как $_SESSION

STEVER — Tue, 20 Dec 2011 09:33:22 GMT

Тема пришла из далекого детства, когда я только начинал программировать, разбирал особенности PHP. На тот момент меня удивляла такая не справедливость: c сессией можно было работать как с обычным ассоциативным массивом($_SESSION), а для кукисов необходимо было использовать функцию setcookie(). Потом я уже поднабрался опыта и понял зачем это сделано именно так.
Время идет и PHP не стоит на месте, в нем появилась такая прекрасная вещь как SPL, одна из возможностей которой — обращение к объекту как к массиву, т.е. реализация ArrayAccess интерфейса.
И вот сейчас я вспомнил о своей детской идее, о массиве $_COOKIE, и реализовал ее:

/* достаточно этой строчки чтобы создать куку как на стороне сервера так и клиента */ $_COOKIE['lang'] = 'ru'; * This source code was highlighted with Source Code Highlighter.

Реализацию можно посмотреть под катом

Читать дальше →

Nginx / Проксируем Cookies на Nginx при помощи модуля lua-nginx

Begetan — Thu, 20 Oct 2011 18:27:06 GMT

Я уже писал о том, как с помощью Nginx трансформировать контент на лету. С момента публикации статьи на базе описанного метода запущен и развивается реальный проект ecommerce. Помимо перевода и трансформации также реализован и SEO рерайт по заветам руководства для начинающих от Google.

Однако, до полной победы изделия русских программистов над заграничным контентом, не хватало одной небольшой, но очень важной вещи — проксирования Cookies.

В чем суть проблемы

Проблема заключается в том, что любой нормальный сервер приложений всегда выставляет Cookie, например для того, чтобы сохранять сессию клиента или корзину с его товаром. Если этот сервер (точнее его администратор) озабочен поддержанием определенного уровня безопасности, то он выставляет в теле Cookie домен и путь, например domain= backend.org; path=/path1. Наш Nginx запущенный в режиме Reverse Proxy замечательно меняет все ссылки в теле документов с backend.org на frontend.org, но не делает этого для кук! Это означает что браузер клиента отвергнет такие куки.

Этот вопрос с давних пор волнует умы администраторов nginx, в рассылках он всплывает по 1-2 раза в год. Большинство вопрошавших, по-видимому, решили свои проблемы подкручивая логику backendа, но не я! После очередного апдейта оригинального сайта стало понятно, что костыль с PHP + Curl тянуть больше невозможно и надо непременно найти решение с помощью Nginx!

Я вернул тему в рассылку, попутно перебирая варианты из ngx_http_perl_module и переменной $upstream_http_set_cookie, даже заглянул в дебри сорсов с призрачной надеждой написать модуль самому. Но все было неудачно пока в один прекрасный момент я не получил письмо от Mikhail Mazursky, который дал ценный совет. Благодаря этому совету я не только с легкостью решил задачу проксирования Cookie, но и получил новый инструмент, с помощью которого можно создать версию 2.0 своего проекта.

Решение

Название этого инструмента lua-nginx-module, который написан еще одним китайским самородком с корнями из Taobao. Из названия легко понять, что речь об языке скриптов Lua встроенном в Nginx — но это больше чем просто интерпретатор! Эти ребята создали полностью неблокируемую реализацию с производительностью десятки тысяч операций в секунду, которая имеет хуки ко всем событиям внутри Nginx. То что раньше можно было реализовать только написав свой модуль на C, теперь можно сделать несколькими строчками на Lua. Заинтересовались?

Тогда добро пожаловать под кат!

Информационная безопасность / [Из песочницы] Уводим чужие cookies c mail.ru

Flexo — Mon, 26 Sep 2011 12:33:03 GMT

Не так давно прочитал на Хабре пост, в котором предлагалось посетить бесплатное мероприятие, посвященное вопросам информационной безопасности. Так как мероприятие проходило в моем городе, я решил, что мне нужно непременно туда сходить. Первое занятие было посвящено уязвимостям на сайтах типа XSS. После занятия я решил, что нужно закрепить полученные знания в реальных условиях. Выбрал для себя несколько сайтов, которые относятся к моему городу и начал во все формы пытаться воткнуть свой скрипт. В большинстве случаев скрипт отфильтровывался. Но бывало так, что «алерт» и срабатывал, и появлялось мое сообщение. О найденной уязвимости сообщал администраторам, и они быстро все исправляли.

В один из таких дней проверяя свежую почту на mail.ru мне на глаза попалась форма для поиска писем в почтовом ящике. Изредка я пользовался этим поиском, чтобы найти что-то нужное в куче своих старых писем. Ну, а так как я в последние пару дней вставлял свой «алерт» практически везде куда только можно было, рука рефлекторно потянулась к этой форме поиска. Набрал код своего скрипта и нажал Enter. Каково же было мое удивление, когда на экране я увидел до боли знакомое сообщение…

Читать дальше →

Firefox / Расширение Collusion для Firefox: визуализация следящих cookies

alizar — Sun, 10 Jul 2011 19:55:01 GMT

«Если вы не платите за что-то, значит, вы не покупатель, а сами являетесь продуктом, который продают», — под таким девизом работает расширение Collusion для Firefox. После установки оно начинает в реальном времени строить 3D-граф следящих cookies на всех сайтах, которые вы посещаете. Если у вас два монитора, то на одном вы можете продолжать сёрфинг, а на другом — открыть вкладку с 3D-графом и наблюдать, как он постепенно достраивается.

Collusion даёт дополнительную информацию по известным следящим cookies, которые есть в базе. Например, Хабралаборатория ей неизвестна.

Демо

P.S. Понадобилось отключить AdBlock, чтобы заработало. Требует версии Firefox 5 или выше.

Браузеры / [Перевод] IE научился чистить флеш-куки

Sterhel — Wed, 04 May 2011 18:28:19 GMT

Пользователи Internet Explorer теперь могут удалять flash cookies благодаря последней версии Adobe Flash и поддержке со стороны Microsoft.

Читать дальше →

Браузеры / [Из песочницы] Cookies внутри iframe — проблема при создании приложения ВКонтакте/Facebook

lu4e3ar — Tue, 18 Jan 2011 12:53:09 GMT

Управление сессиями при помощи посылки cookies на сайтах стало настолько распространено, что без этого не обходится, наверное, ни один проект, требующий авторизации пользователей. Казалось бы, механизм настолько изучен, что проблемы с ним просто немыслимы.

Так считали и мы при разработке iframe-приложения для ВКонтакте.
Но после того, как приложение было разработано (разработка велась в основном в Mozilla Firefox и Google Chrome), выяснилось, что оно неработоспособно в Internet Explorer, к которому позднее присоединились последние версии Opera и Safari.

Под катом подробное описание проблемы и вариантов её решения.

Читать дальше →

Google / Автор расширения Facebook Disconnect уволился из Google

alizar — Sun, 26 Dec 2010 03:47:59 GMT

Программист Брайан Кенниш (Brian Kennish) работал в компании Google семь лет, участвуя в создании браузера Chrome и Google Wave. Он приобрёл известность два месяца назад, когда без разрешения работодателя выложил расширение Facebook Disconnect для браузера Chrome, блокирующее модуль Facebook Connect во время посещения сторонних ресурсов (на сегодняшний день его установили уже более 75 тыс. пользователей).

Как оказалось, идея этого расширения противоречит не только бизнесу Facebook, но и бизнесу самой компании Google, которая тоже стремится собирать максимум персональной информации о пользователях во время их сёрфинга по Сети.

Читать дальше →

Веб-разработка / Из чего готовят Google Analytics Cookies

BurundukXP — Mon, 26 Jul 2010 14:21:17 GMT

Добрый день.
Недавно одни из наших заказчиков выразили желание получать дополнительную информацию о посетителях своего сайта, конкретнее — о людях, заполнивших контактную форму. Это крупная европейская компания и им хотелось бы «фильтровать» своих потенциальных клиентов. Поясню на примере — допустим, решают они организовать выставку своего оборудования в Венгрии и им нужно решить, кто из венгров, оставлявших им свои контакты, скорее всего стоящий клиент, а кто «мимо проходил».
Основными показателями «надежности» клиента для нас стали: число посещений сайта, время проведенное на сайте, количество просмотренных страниц. Всю эту информацию мы получили из Google Analytics Cookies.

Что же из себя представляют печеньки от Google?

Читать дальше →

Веб-разработка / Знай откуда пришел пользователь

ivv — Mon, 04 Jan 2010 22:16:40 GMT

Когда вы открываете свой проект вы начинаете писать о нем везде, в том числе и на хабре.

Сервисы статистики типа Google Analytics дадут вам общую оценку трафика, а именно сколько посетителей пришло с какого ресурса. Можно настроить цели(goals) и отследить регистрации или покупки, но этого часто бывает недостаточно.

А что если вам нужна статистика о том откуда идут более активные пользователи или пользователи которые создали больше всего тем на форуме за какой-то промежуток времени, или сделали больше всего покупок в вашем интернет магазине. Вариантов может быть много и такие данные сервисы аналитики уже дать нет смогут.

Читать дальше →

Персональные блоги / работа с куками из javascript

the_buddha — Mon, 23 Nov 2009 10:00:58 GMT

Всем привет!

Сегодня хочется поделиться с теми кто еще не в теме, теорией о том как работать с cookie из JS

JS не предоставляет удобного API для работы с cookies. И это в принципе не плохо, могло бы быть и хуже (например js вообще не реализовывал бы работы с куками), но все же, лучше, когда можно читать куки с помощью одной инструкции (чего пока нативным js — невозможно).

Существует множество framework'ов и plugin'ов к ним, которые восполняют данный недостаток. Однако бывают проекты где нецелесообразно подключать framework лишь для удобства работы с куками.

Читать дальше →

Персональные блоги / Быстрое переключение cookie

georgthegreat — Fri, 20 Nov 2009 19:12:34 GMT

У меня возникла странная потребность:Мне нужно быстро переключаться между двумя жж-шными аккаунтами.Способа сделать это быстрее, чем разлогиниться→залогиниться я не знаю.Может кто-нибудь подсказать нечто действенное?Браузер — ff3.6.

Веб-разработка / Internet Explorer. Интересные особенности работы с двухбуквенными именами

naoise — Mon, 09 Nov 2009 16:57:50 GMT

Всем привет.

Этот топик — некая зарисовка на полях, которая, надеюсь, кому-нибудь пригодится, а кто-то — просто прочитает ее с интересом.

Не так давно мы запустили приложение для Твиттера по (не дай бог быть осужденным в пиаре) адресу lu.ly

За несколько недель до релиза мы перевели приложение с внутреннего домена для разработки на production-домен как вдруг столкнулись с непонятной ситуацией.

В Internet Explorer и 6-й и 7-й и 8-й версии не устанавливались некоторые cookie сайта.

Читать дальше →

JavaScript / В Сафари сломалось время

artch — Sun, 29 Mar 2009 13:59:43 GMT

Будьте осторожны — сегодня в Сафари сломалась установка кук, видимо в связи с переходом на летнее время. Период жизни кук сокращается ровно на час, а меньше чем на час куки вообще не сохраняются.

Test case:

Проверено в Safari 4 Public Beta (528.16) под Windows.

Персональные блоги / GET запросы

ScorpLeX — Sat, 21 Mar 2009 20:16:57 GMT

При создании разнообразных движков для сайтов, разработчики часто упускают такой не существенный момент, он вроде бы и маленький, но все же баг.

На примере Яндекса, эта ссылка
passport.yandex.ru/passport?mode=logout&retpath=http%3A%2F%2Fwww.yandex.ru%2F
Приводит к выходу пользователя из почты. Вряд ли кто то будет нажимать на нее, но а что если это будет не ссылка, а например картинка с таким адресом. Браузер сделает запрос, картинки не найдет, но пользователя выкинет из почты.

Таких примеров великое множество мейл.ру, вконтакте.ру, одноклассники.ру, разнообразные системы: форумов, портальных систем, онлайн магазинов.
На многих сайтах стоит проверка по referer'у пользователя, но если он не предается, то обычно система не реагирует и делает положенные действия.
Выход пользователя из системы это как один из примеров, если это онлайн магазин и покупка товара проходит через GET запрос или обрабатывается через $_REQUEST…
Фактически злоумышленник может воспользоваться этим, например с помощью форума и заставить пользователя, сделать какое либо действие на стороннем сайте.

Последнее время мне очень интересна эта проблема, и способы ее решения.

Персональные блоги / Кому кукисы? Свежие кукисы!

tavi — Thu, 02 Oct 2008 20:12:00 GMT

Сфоткано на заправке, трасса Москва-Рязань.

Персональные блоги / Используем пару профилей на одном ресурсе из одного окна Firefox

Nichola — Thu, 18 Sep 2008 11:22:21 GMT

Давно думал как можно обеспечить себе достаточное удобство для работы под двумя профилями на одном ресурсе.

Моё решение сегодняшнего дня это установка в Firefox плагина IE Tab, который позволяет открывать во вкладках Firefox-а странички с использованием движка IE, конечно же мы получаем отдельную сессию на IE движке и можем из такого таба входить на ресурс уже открытый и имеющий куки какого-то пользователем в других вкладках огненной лисы.

А у вас есть какие-нибудь способы на такой случай?

Персональные блоги / Кросс-доменные Cookie

derbov — Wed, 20 Aug 2008 14:44:22 GMT

Рассмотри случай когда у вас есть несколько поддоменов на одном сервере. Нам нужно чтобы сессия хранилась на сервере и читалась всем скриптами на разных поддоменах.

Читать дальше →

JavaScript / Альтернатива cookies посредством Java Script

antyrat — Thu, 17 Jul 2008 15:49:54 GMT

Поиск по хабру похожей статьи не дал, потому рискну поделится с теми кто еще не в курсе
Многие из вас сталкивались с проблемой хранения данных на клиенте. Первым делом в голову приходит cookies но ограничение хранения данных в размере не более 4kb не всех радует, сегодня если позволите я вам расскажу как посредством Java script хранить около 100kb на клиенте.

итак приступим