ho risolto il problema legato al doppio cookie lato http/https e l'unica soluzione è disattivare il Force cookies...
Forse è anche meglio perché ho letto in giro che qualche smanettone potrebbe prelevare ed usare il cookie per entrare in OSC e scasinare l'account del povero cliente!
In sostanza se avete una shared ssl dovete disattivarlo.. se no non va il sito!
(cmq bastava dirlo subito.. io mi sono ammazzato di ricerche ed era scritto chiaro e tondo nel manuale online di OSC!)
Quindi Force cookie off ma...... csid nell' url....
quindi vi chiedo non è pericoloso un quanto passibile di Hijack?
io ho fatto questa prova:
mi sono loggato in OSC e dentro una pagina in ssl ho copiato l'URL...
me lo sono mandato sul portatile..... l'ho aperto e.... bam!
ero dentro al mio edit account in ssl da un'altro Mac!
Ovviamente quando sul primo Mac ho fatto il logoff l'altro (appena si è "mosso") è stato schizzato alla pagina del login...
Ok!
ma metti che un semo copia e incolla l'url (col Csid) in una maill e la manda a un suo amico?
Se il suo amico clicca subito l'url va su OSC e si trova dentro insieme all'altro!
Perlomeno sono insieme fin che uno dei 2 non fa il logoff..
Sai che casino!
Secondo voi?
Il check dell'IP previene questo?
Oppure esiste qualcosa che confronta l'IP assegnato al Csid e previene gli IP diversi che hanno lo stesso Csid.
(Ho cercato tutto e di + sul sito ufficiale ma nisba...)
Cosa ne pensate?
se vi interessa ho trovato un sito di test sulla sicurezza che parla di osc (sembra molto sicuro..
http://secunia.com/product/1308/