[ASP] URL cloacking , session e cookies

[eng]

Ho un bel problema.
Ho costruito un'area ad accesso riservatocon login e password,
che funziona con Session (non con cookies) per l'autorizzazione all'accesso delle pagine seguenti.

(Il visitatore per usare correttamente le session deve aveve in IE opzioni->privacy->bassa o ' accetta tutti i cookies'

Tutto funziona bene sul server http://www.freeasphost.co.uk/marco/login0.asp
password guest/guest
ma se faccio puntare il sito sopra da un subdomain http://login.brera.us , in modalità URL clocking (framing : cioè si ha un forwarding in un frame, in sostanza)
non funziona piu' nulla.

Preciso:

accedendo al link diretto (freeasp..), con i cookies attivati, si riesce ad entrare.
Se ora senza cancellare i cookies provo ad entrare in login.brera.us ci riesco benissimo.
Cancello i cookies, e voilà non riesco ad entrare in brera.us, nonostante abbia sempre i cookies attivati. E' come se login.brera.us non riuscisse a settare i cookies... ovvero il framing di login.brera.us fa qualcosa sulle session/cookies...

sapete darmi una spiegazione ?

[cionci]

In realtà usando le Session usi comunque i cookies (l'id di sessione viene salvato su un cookie del client) a meno di propagare la SessionID tramite l'url (cosa che con ASP non so se si può fare, mentre si può fare con PHP)...
Guarda se e come viene salvato il session ID nei cookies del client...ed altra cosa guarda qual è l'url del frame del servizio di redirect... Se è un redirect statico...ovvero viene fatto il redirect solo al momento di aprire la prima pagina del sito allora non capisco come mai non funzioni...
Se è un redirect dinamico...ovvero il redirect avviene per ogni pagina (un po' come il serivzio di traduzione di Altavista) allora probabilmente il cookie che contiene il SessionID non viene forwardato al server di destinazione del redirect...

Comunque se i link sono giusti ci do un'occhiata...

[eng]

Quote:

Originally posted by "cionci"

In realtà usando le Session usi comunque i cookies (l'id di sessione viene salvato su un cookie del client) a meno di propagare la SessionID tramite l'url (cosa che con ASP non so se si può fare, mentre si può fare con PHP)...
Guarda se e come viene salvato il session ID nei cookies del client...ed altra cosa guarda qual è l'url del frame del servizio di redirect... Se è un redirect statico...ovvero viene fatto il redirect solo al momento di aprire la prima pagina del sito allora non capisco come mai non funzioni...
Se è un redirect dinamico...ovvero il redirect avviene per ogni pagina (un po' come il serivzio di traduzione di Altavista) allora probabilmente il cookie che contiene il SessionID non viene forwardato al server di destinazione del redirect...

Comunque se i link sono giusti ci do un'occhiata...

mi faresti un grosso piacere se ci dessi una guardata.
Una soluzione possibile e' sostituire le session con un cookie scritto dal mio codice sul client... verificando la sua presenza in ogni pagina...
potrei scrivere nel cookie l'username+password ... abolendo le session completamente.
Ma e' usa soluzione del piffero! Da adottare in extremis

Sul forum di html.it mi e' stato detto di abbassare a zero, ovvero mettere in IE6 una privacy nulla ('accetta dutti i cookies') anziche' bassa...

Non ho modo di fare questa verifica perche' stranamente io non ho problemi, ovvero la problematica esposta capita a navigatori del mio sito e non capisco ancora la loro configurazione...l'SP1-2 usati , non usati.
Io uso un XP corporate con un IE6 di default, non ho applicato nessun SP, e non ho nessun problema.

MAh.

Fino ad ora solo tu hai inquadrato per bene il problema.
Spero che tu mi possa dare una mano... con tutta calma.
grazie

[cionci]

Se mi dai in privato una username e una password di prova ti faccio sapere meglio...
Per ora mi sembra tutto ok...e non capisco come psosa non funzionare con il redirect...

[eng]

Quote:

Originally posted by "cionci"

Se mi dai in privato una username e una password di prova ti faccio sapere meglio...
Per ora mi sembra tutto ok...e non capisco come psosa non funzionare con il redirect...

un momento che aggiorno il database e creo una pagina interna per te.
poi ti emailo. grazie. questione di 5 minuti


che piffero! dimenticavo: c'e gia' login: guest / password guest che fanno accedere ad una dummy page

[cionci]

Senti...a me funziona in bene in entrambi i modi... Ho IE 5.5 e la protezione settata a media... Ho provato a cancelalre il cookie prima di entrare su login.brera.us e funziona bene...

[eng]

Quote:

Originally posted by "cionci"

Senti...a me funziona in bene in entrambi i modi... Ho IE 5.5 e la protezione settata a media... Ho provato a cancelalre il cookie prima di entrare su login.brera.us e funziona bene...

Il problema , secondo me, come mi e' stato detto anche su forum.html.it, e' legato ie6 . In questo caso, grazie alle nuove regole di privacy (colpa dei paranoici come Bill!!!), ie6 li vede come due domini e in un dominio non accetta più i cookies dell'altro...

devo per forza spiegare agli utenti cosa è cambiato e far impostare l'accettazione di tutti i cookies dalla pagina della privacy...

grazie cionci.... e qualcun altro vuole provarci.... ;-)

[eng]

si', e' un problema di '3rd parties cookies' sotto IE6, indipendentemente dal sysop.

Bisogna abilitarli in Opzioni->Privacy->Avanzate->sostituisci gest automatica -> accettazione/chiedi confrma (cookies di terze parti)

come indicato qui:

[cionci]

Capito