У меня есть домен с 2 поддоменами, например: www.domain.com и secure.domain.com (с ssl). Субдомен www будет работать с vbulletin (подверженным атакам xss), а веб-служба, стоящая за защищенным субдоменом, работает хорошо, более безопасна и более чувствительна к атакам, поскольку в этом участвуют реальные деньги. domain.com 301 перенаправляет на www.domain.com. Теперь я хотел бы иметь единый вход в обе службы без ущерба для безопасности безопасного субдомена. Мне кажется, есть 2 способа сделать это:
Используя OpenID и после успешной аутентификации, задайте cookie-домен только для поддоменов соответственно, например .www.domain.com и .secure.domain.com, чтобы cookie-файлы secure.domain.com не отправлялись злоумышленнику в случае вторжения в www.domain.com
Разрешить пользователям входить только с secure.domain.com и устанавливать 2 куки, 1 с .domain.com для беспроблемной аутентификации на www.domain.com и еще один cookie на .secure.domain.com для проверки что пользователь прошел аутентификацию через защищенный поддомен.
Насколько я понимаю, когда дело касается sso для нескольких веб-приложений в одном домене и его поддоменах, запуск любого приложения в домене верхнего уровня, например domain.com, будет представлять потенциальную угрозу безопасности, поскольку приложение на верхнем уровне всегда будет будут отправлены все файлы cookie, установленные поддоменами, а также субдомены смогут устанавливать и получать файлы cookie домена верхнего уровня.
Вопрос в следующем: Верны ли мои предположения или я что-то упустил?