Результаты поиска

Реализация функции "Remember me" в приложении Rails

В моем Rails-приложении есть поле входа с "remember me" checkbox. Пользователи, установившие этот флажок, должны оставаться в системе даже после закрытия браузера. Я отслеживаю, входят ли пользователи в систему, сохраняя их идентификатор в сеансе пользователя.

Но сеансы реализуются в Rails как сеансовые файлы cookie, которые не являются постоянными. Я могу сделать их настойчивыми:

class ApplicationController < ActionController::Base
  before_filter :update_session_expiration_date

  private

  def update_session_expiration_date
    options = ActionController::Base.session_options
    unless options[:session_expires]
      options[:session_expires] = 1.year.from_now
    end
  end
end

Но это похоже на взлом, что удивительно для такой распространенной функциональности. Есть ли какой-нибудь лучший способ?

Редактировать

Ответ Гарета довольно хорош, но я все равно хотел бы получить ответ от кого-то, кто знаком с Rails 2 (потому что он уникален CookieSessionStore ).

Окончательное руководство по проверке подлинности веб-сайта на основе форм

Аутентификация на основе форм для веб-сайтов

Мы считаем, что Stack Overflow должен быть не только ресурсом для очень конкретных технических вопросов, но и для общих руководящих принципов по решению вариаций общих проблем. "Form based authentication for websites" должно быть прекрасной темой для такого эксперимента.

Он должен включать такие темы, как:

• Как войти в систему
• Как выйти из системы
• Как оставаться в системе
• Управление файлами cookie (включая рекомендуемые настройки)
• Шифрование SSL/HTTPS
• Как хранить пароли
• Использование секретных вопросов
• Забытый логин / пароль функциональность
• Использовать специальные слова, чтобы предотвратить подделка межсайтовых запросов (CSRF)
• OpenID
• "Remember me" checkbox
• Автозавершение браузером имен пользователей и паролей
• Секретный URLs (публичный URL защищен дайджестом)
• Проверка надежности пароля
• Проверка электронной почты
• и многое другое о проверке подлинности на основе форм ...

Он не должен включать в себя такие вещи, как:

• Роли и разрешения
• HTTP обычной проверки подлинности

Пожалуйста, помогите нам:

1. Предлагая подтемы
2. Отправка хороших статей на эту тему
3. Редактирование официального ответа

Как я могу получить аутентифицированное имя пользователя под Apache, используя обычную HTTP аутентификацию и PHP?

Во-первых, давайте избавимся от соображений безопасности. Я использую простую аутентификацию под Apache для одноразового, только внутреннего использования, не подключенного к интернету lan, php веб-приложения.

Как я могу получить HTTP аутентифицированное имя пользователя в PHP?

Как создать curl или wget веб-страницу?

Я хотел бы сделать ночное задание cron, которое извлекает мою страницу stackoverflow и отличает ее от страницы предыдущего дня, чтобы я мог видеть сводку изменений моих вопросов, ответов, рейтинга и т. д.

К сожалению, я не смог получить правильный набор печенья и т.д.,Чтобы сделать эту работу. Есть какие-нибудь идеи?

Кроме того, когда бета-версия будет завершена, будет ли доступна моя страница состояния без входа в систему?

Как узнать, когда отправить 304 не измененный ответ

Я пишу метод обработки ресурсов, где я контролирую доступ к различным файлам, и я хотел бы иметь возможность использовать кэш браузера. Мой вопрос двоякий:

1. Какие окончательные заголовки HTTP мне нужно проверить, чтобы точно знать, должен ли я отправить ответ 304, и что я ищу, когда я их проверяю?

2. Кроме того, есть ли какие-либо заголовки, которые мне нужно отправить, когда я изначально отправляю файл (например, 'Last-Modified') в качестве ответа 200?

Некоторые psuedo-код, вероятно, будет наиболее полезным ответом.

---

А как насчет заголовка cache-control? Могут ли различные возможные значения этого влиять на то, что вы отправляете клиенту (а именно max-age), или следует выполнять только if-modified-since?

HTTP: Создание Заголовка ETag

Как создать заголовок ETag HTTP для файла ресурсов?

Доступ к переменным post с помощью Java Servlets

Что такое Java эквивалент PHP $_POST ? После часа поисков в Интернете я все еще нигде не приблизился.

Каков наилучший способ загрузить файл через сообщение HTTP с веб-формой?

В принципе, что-то лучше, чем это:

<input type="file" name="myfile" size="50">

Прежде всего, кнопка browse выглядит по-разному в каждом браузере. В отличие от кнопки submit на форме, вы должны придумать какой-то Хак-y способ его стиля.

Во-вторых, нет индикатора прогресса, показывающего, сколько файлов было загружено. Обычно вам нужно реализовать какой-то способ на стороне клиента, чтобы отключить несколько отправок (например, изменить кнопку отправки на отключенную кнопку, показывающую "отправка формы... подождите пожалуйста.") или flash гигантское предупреждение.

Есть ли хорошие решения для этого, которые не используют Flash или Java?

Яаков : этот продукт выглядит именно так, как я ищу, но стоимость составляет $1000 и его специально для ASP.NET. есть ли какие-либо проекты с открытым исходным кодом, которые охватывают ту же или подобную функциональность?

Как я могу преобразовать дату в HTTP-отформатированную дату в .Net / C#

Как можно преобразовать .Net DateTime в допустимую строку даты в формате HTTP?

Как я могу преобразовать дату в HTTP-отформатированную дату в .Net / C#

Как можно преобразовать .Net DateTime в допустимую строку даты в формате HTTP?

Лучший способ разрешить пользователям загружать файлы с моего сайта: http или ftp

У нас есть некоторые файлы на нашем сайте, которые пользователи нашего программного обеспечения могут скачать. Некоторые файлы находятся в виртуальных папках на веб-сайте, а другие-на нашем ftp. Файлы на ftp обычно доступны, нажав на ссылку ftp:// в браузере-большинство наших клиентов не имеют клиента ftp. Доступ к другим файлам осуществляется по ссылке http:// в браузере.

Должен ли я переместить все файлы в ftp? или это не имеет значения? В чем разница?

Убедите Firefox отправить заголовок If-Modified-Since поверх HTTPS

Как я могу убедить Firefox (3.0.1, если это имеет значение) отправить заголовок If-Modified-Since в запросе HTTPS? Он отправляет заголовок, если запрос использует обычный HTTP, и мой сервер послушно выполняет его. Но когда я запрашиваю тот же ресурс с того же сервера, используя вместо этого HTTPS (т. е. просто меняя http:// в URL на https://), то Firefox вообще не отправляет заголовок If-Modified-Since. Это поведение предписано спецификацией SSL или чем-то еще?

Вот некоторые примеры пар запрос / ответ HTTP и HTTPS, извлеченные с использованием расширения Live HTTP Headers Firefox, с некоторыми различиями в полужирном шрифте:

HTTP request/response:

http://myserver.com:30000/scripts/site.js

GET /scripts/site.js HTTP/1.1
Host: myserver.com:30000
User-Agent: Mozilla/5.0 (...) Gecko/2008070206 Firefox/3.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
If-Modified-Since: Tue, 19 Aug 2008 15:57:30 GMT
If-None-Match: "a0501d1-300a-454d22526ae80"-gzip
Cache-Control: max-age=0

HTTP/1.x 304 Not Modified
Date: Tue, 19 Aug 2008 15:59:23 GMT
Server: Apache/2.2.8 (Unix) mod_ssl/2.2.8 OpenSSL/0.9.8
Connection: Keep-Alive
Keep-Alive: timeout=5, max=99
Etag: "a0501d1-300a-454d22526ae80"-gzip

HTTPS request/response:

https://myserver.com:30001/scripts/site.js

GET /scripts/site.js HTTP/1.1
Host: myserver.com:30001
User-Agent: Mozilla/5.0 (...) Gecko/2008070206 Firefox/3.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive

HTTP/1.x 200 OK
Date: Tue, 19 Aug 2008 16:00:14 GMT
Server: Apache/2.2.8 (Unix) mod_ssl/2.2.8 OpenSSL/0.9.8
Last-Modified: Tue, 19 Aug 2008 15:57:30 GMT
Etag: "a0501d1-300a-454d22526ae80"-gzip
Accept-Ranges: bytes
Content-Encoding: gzip
Content-Length: 3766
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/javascript

UPDATE: установка browser.cache.disk_cache_ssl в true сделала трюк (что странно, потому что, как указывает Николай, все еще есть кэш памяти). Добавление заголовка "Cache-control: public" в ответ также сработало. Спасибо!

Чтение ответа "chunked" с помощью HttpWebResponse

У меня возникли проблемы с чтением ответа "chunked" при использовании StreamReader для чтения потока, возвращенного GetResponseStream() из HttpWebResponse:

// response is an HttpWebResponse
StreamReader reader = new StreamReader(response.GetResponseStream());
string output = reader.ReadToEnd(); // throws exception...

Когда вызывается метод reader.ReadToEnd() , я получаю следующее System.IO.IOException: не удалось прочитать данные из транспортного соединения: соединение было закрыто.

Приведенный выше код отлично работает, когда сервер возвращает ответ "non-chunked".

Единственный способ, которым я смог заставить его работать, - это использовать HTTP/1.0 для первоначального запроса (вместо HTTP/1.1, по умолчанию), но это кажется неубедительным обходом.

Есть какие-нибудь идеи?

---

@Chuck

Ваше решение работает довольно хорошо. Он все еще бросает тот же самый IOExeception на последний Read(). Но после проверки содержимого StringBuilder похоже, что все данные были получены. Так что, возможно, мне просто нужно завернуть Read() в пробный улов и проглотить "error".

Как бы вы реализовали аутентификацию на основе FORM без резервной базы данных?

У меня есть сценарий PHP, который работает как программа CGI, а заголовок HTTP Authenticate съедается и выплевывается. Поэтому я хотел бы реализовать какую-то аутентификацию на основе FORM. В качестве дополнительного ограничения отсутствует база данных, поэтому данные сеанса не могут быть сохранены.

Я очень открыт для того, чтобы иметь мастер-имя пользователя и пароль. Мне просто нужно защитить приложение от злоумышленника, который не знает эти учетные данные.

Так как бы вы это реализовали?

Печенье?

Я могу представить форму, и если она подтвердится, я могу отправить обратно файл cookie, который является hash из IP адреса и секретного кода. Тогда я могу запретить отображение страниц, если вещь не расшифровывается правильно. Но я понятия не имею, как реализовать это в PHP.

Обработать содержимое запроса raw HTTP

Я делаю решение для электронной коммерции в ASP.NET, которое использует стандартный сервис платежей на веб-сайте PayPal . Вместе с этим я использую услугу, которую они предлагают ( передача платежных данных), которая отправляет вам информацию о заказе после того, как пользователь завершил платеж. Последнее, что мне нужно сделать, это проанализировать запрос POST от них и сохранить информацию в нем. Содержимое запроса HTTP находится в этой форме :

SUCCESS
имя=Джейн+Мэ
фамилия=Smith
payment_status=завершено
payer_email=janedoesmith%40hotmail.com
payment_gross=3.99
mc_currency=USD
заказ=по+С+купить+в+о+редкая+книга+зеленый+яйца+%26+ветчина

В основном я хочу разобрать эту информацию и сделать что-то значимое, например, отправить ее по электронной почте или сохранить в DB. Мой вопрос заключается в том, что является правильным подходом к разбору необработанных данных HTTP в ASP.NET, а не как сам разбор выполняется.

Как использовать проверку подлинности NTLM с Active Directory

Я пытаюсь реализовать аутентификацию NTLM на одном из наших внутренних сайтов,и все работает. Единственный кусочек головоломки, которого у меня нет, - это то, как взять информацию из NTLM и пройти аутентификацию в Active Directory.

Существует хорошее описание NTLM и шифрования, используемого для паролей, которые я использовал для реализации этого, но я не уверен, как проверить, является ли пароль пользователя действительным.

Я использую ColdFusion, но решение этой проблемы может быть на любом языке (Java, Python, PHP и т. д.).

Редактировать:

Я использую ColdFusion на Redhat Enterprise Linux. К сожалению, мы не можем использовать IIS для управления этим и вместо этого должны написать или использовать сторонний инструмент для этого.

---

Update - я получил эту работу, и вот что я сделал

Я пошел с библиотекой JCIFS из samba.org.

Обратите внимание, что приведенный ниже метод будет работать только с NTLMv1 и не работает с NTLMv2. Если вы не можете использовать NTLMv1, вы можете попробовать Jespa, который поддерживает NTLMv2, но не является открытым исходным кодом, или вы можете использовать Kerberos/SPNEGO.

Вот мой web.xml:

<web-app>
    <display-name>Ntlm</display-name>

    <filter>
        <filter-name>NtlmHttpFilter</filter-name>
        <filter-class>jcifs.http.NtlmHttpFilter</filter-class>

        <init-param>
            <param-name>jcifs.http.domainController</param-name>
            <param-value>dc01.corp.example.com</param-value>
        </init-param>
        <init-param>
            <param-name>jcifs.smb.client.domain</param-name>
            <param-value>CORP.EXAMPLE.COM</param-value>
        </init-param>
    </filter>

    <filter-mapping>
        <filter-name>NtlmHttpFilter</filter-name>
        <url-pattern>/admin/*</url-pattern>
    </filter-mapping>
</web-app>

Теперь все URLs совпадающие /admin/* будут требовать NTLM аутентификации.

Можно ли скомпилировать сервер Apache HTTP и повторно развернуть его двоичные файлы в другое место?

В рамках выпуска нашего продукта мы отправляем двоичные файлы сервера Apache HTTP, которые мы скомпилировали на нашей машине разработки (UNIX).

Мы говорим нашим клиентам установить двоичные файлы (на их серверах UNIX) в той же структуре каталогов, в которой мы его скомпилировали. Для некоторых клиентов это не подходит, например, там, где есть ограничения на то, где они могут устанавливать программное обеспечение на своих серверах, и они не хотят компилировать Apache самостоятельно.

Есть ли способ компиляции сервера Apache HTTP, чтобы его местоположение установки можно было указать динамически с помощью переменных среды ?

Я потратил несколько дней, пытаясь разобраться в этом, и не мог найти способ сделать это. Это заставило меня поверить, что двоичные файлы Apache жестко кодировали некоторые пути к каталогам при компиляции, предотвращая требуемую переносимость.

Кому-нибудь удалось это сделать ?

Как загрузить файл через HTTP с помощью Python?

У меня есть небольшая утилита, которую я использую, чтобы загрузить MP3 с веб-сайта по расписанию, а затем построить/обновить файл подкаста XML, который я, очевидно, добавил в iTunes.

Обработка текста, которая создает / обновляет файл XML, записывается в Python. Однако я использую wget внутри файла Windows .bat , чтобы загрузить фактический MP3. Хотя я бы предпочел, чтобы вся утилита была написана в Python.

Я изо всех сил пытался найти способ на самом деле вниз загрузить файл в Python, поэтому я прибегнул к wget .

Итак, как мне загрузить файл с помощью Python?

Представление запроса базы данных олицетворение файла на Windows общей папке?

Есть ли какой-то способ получить что-то, что выглядит как файл в общей папке Windows, но на самом деле является ресурсом, обслуживаемым через HTTP?

Для контекста я работаю со старым приложением, которое может работать только с файлами в общей папке Windows, я хочу создать простой сервис на основе HTTP для динамического обслуживания содержимого файлов, чтобы по запросу получать изменения в реальном времени в базовых данных

---

Спасибо за советы - у меня сейчас есть кое-какие исследования...

Спасибо всем,

Избегайте формирования трафика с помощью ssh на порту 443

Я слышал, что если вы используете порт 443 (обычно используемый для https) для ssh, зашифрованные пакеты выглядят одинаково для вашего провайдера.

Может ли это быть способом избежать пробок shaping/throttling?

Как HttpOnly cookies работают с AJAX запросами?

JavaScript необходим доступ к файлам cookie, если AJAX используется на сайте с ограничениями доступа на основе файлов cookie. Будут ли файлы cookie HttpOnly работать на сайте AJAX?

Изменить: Microsoft создала способ предотвращения атак XSS, запретив JavaScript доступ к файлам cookie, если указано HttpOnly. FireFox позже принял это. Итак, мой вопрос: если вы используете AJAX на сайте, как StackOverflow, являются ли Http-только файлы cookie опцией?

Правка 2: Вопрос 2. Если целью HttpOnly является предотвращение доступа JavaScript к cookies, и вы все еще можете получить cookies через JavaScript через объект XmlHttpRequest, то в чем смысл HttpOnly ?

Правка 3: Вот цитата из Википедии:

Когда браузер получает такой файл cookie, он должен использовать его как обычно в следующих обменах HTTP, но не делать его видимым для клиентской стороны scripts.[32] флаг HttpOnly не является частью какого-либо стандарта и не реализован во всех браузерах. Обратите внимание, что в настоящее время нет никакой возможности предотвратить чтение или запись сессионного куки через XMLHTTPRequest. [33].

Я понимаю, что document.cookie блокируется, когда вы используете HttpOnly. Но похоже, что вы все еще можете прочитать значения cookie в объекте XMLHttpRequest, допуская XSS. Как HttpOnly делает вас более безопасным, чем? Делая файлы cookie по существу только для чтения?

В вашем примере я не могу написать на ваш document.cookie, но я все еще могу украсть ваш файл cookie и отправить его в свой домен, используя объект XMLHttpRequest.

<script type="text/javascript">
    var req = null;
    try { req = new XMLHttpRequest(); } catch(e) {}
    if (!req) try { req = new ActiveXObject("Msxml2.XMLHTTP"); } catch(e) {}
    if (!req) try { req = new ActiveXObject("Microsoft.XMLHTTP"); } catch(e) {}
    req.open('GET', 'http://stackoverflow.com/', false);
    req.send(null);
    alert(req.getAllResponseHeaders());
</script>

Правка 4: Извините, я имел в виду, что вы можете отправить XMLHttpRequest в домен StackOverflow, а затем сохранить результат getAllResponseHeaders() в строку, regex из файла cookie, а затем отправить его во внешний домен. Похоже, что Википедия и ha.ckers согласны со мной в этом, но я хотел бы быть перевоспитанным...

Окончательное редактирование: Ах, очевидно, оба сайта ошибочны, на самом деле это ошибка в FireFox . IE6 & 7 на самом деле являются единственными браузерами, которые в настоящее время полностью поддерживают HttpOnly.

Чтобы повторить все, что я узнал:

• HttpOnly ограничивает весь доступ к document.cookie в IE7 & и FireFox (не уверен в других браузерах)
• HttpOnly удаляет информацию о файлах cookie из заголовков ответов в XMLHttpObject.getAllResponseHeaders() в IE7.
• XMLHttpObjects могут быть отправлены только в домен, из которого они исходят, поэтому нет никакой междоменной публикации файлов cookie.

правка: эта информация, скорее всего, больше не актуальна.

Что было бы хорошо, windows и iis (http) на основе распределенной системы управления версиями

На моей работе мы делаем & продаем сайты. Обычно мы устанавливаем наши .NET C# базирует сайт на сервере заказчика и поддерживает его удаленно. Тем не менее, каждый раз в то время, для большего развития работает и просто сделать вещи проще (и быстрее!), мы скопируем сайт на локальный сервер.

Это здорово, но есть одна боль - перемещение сайта обратно к клиенту. Теперь, если ничего не было изменено на копии клиента-нет проблем. Тем не менее, это печальная правда, что когда-то (читайте чаще, чем хотелось бы) некоторые исправления были необходимы для применения на рабочем сервере. Либо потому, что клиент нуждался в нем NOW, либо просто потому, что это была серьезная ошибка.

Я знаю, что вы можете легко применить эти исправления ошибок к локальной копии, но это процесс, подверженный ошибкам. Поэтому я возлагаю свои надежды на распределенный контроль версий, чтобы помочь синхронизировать две копии.

Вот что мне нужно:

• Простота установки-больше ничего не нужно, кроме установщика и прав администратора.
• Может быть интегрирован в существующий веб-сайт в качестве виртуального каталога и работает на порту 80 - нет хлопот с новым DNS требуется.
• Отличное программное обеспечение

Вот и все. Есть идеи?

---

Некоторые комментарии к ответам

Во-первых, спасибо! очень признателен.

Я посмотрел на Mercurial и базар, и оба выглядят очень хорошо. Единственным нюансом является установка в качестве виртуального каталога на IIS. Mercurial, насколько я понимаю, используют специальный протокол (wire) и Базар нуждается и в добавлении расширений python. Есть ли другая система, которую легче интегрировать с IIS? Я готов принять удар производительности для этого.

Content-Type и redirect?

Какой Content-Type должен отдавать сервер, если он перенаправляет запрос, например, к изображению? То есть, второй ответ сервера будет с Content-Type: image/jpeg. Мне казалось, что все равно. Мой сервер возвращает text/html. Но хром считает это ошибкой и выводит предупреждение в консоли.


Вот пример с главной страницы яндекса:

Resource interpreted as image but transferred with MIME type .<br/>
Resource interpreted as image but transferred with MIME type text/plain.

UP.:

Скорее всего, я зря это называю ошибкой… Просто мне (и хрому) такая ситуация кажется странной.

lighttpd dead but pid file exists

Периодически сталкиваюсь с данной ошибкой на lighttpd на front-end'ах.
В логах ничего толкового.
Обычно такая ошибка появляется при вспесках трафика.

Что посоветуете по лечению?

P.S. вариант «перейти на nginx» пока не предлагайте. =)

P.P.S.
Вот пример конфига FastCGI:

fastcgi.server = (
".php" =>
( «localhost» =>
(
«bin-path» => "/usr/bin/php-cgi",
«host» => «127.0.0.1»,
«port» => 1025,
«max-procs» => 500
)
)
)

Возможно, что при достижении нагрузки более 500 пользователей на один сервер выпадает ошибка. Каковы мнения?

распределение нагрузки lighttpd по процессорам

Нагрузка lighttpd распределяется неравномерно между процессорами.
На текущий момент на первый процессор — порядка 20%, на второй — около 5-7%. При скачках трафика — поднимается.
Каким образом можно оптимизировать нагрузку по процессорам и сделать её равной величиной для обоих?

lighttpd memory leaking

Посоветуйте как бороться с memory leaking на lighttpd.
Столкнулся с цепным эффектом, когда рестарт одного из веб-серверов привел к нестабильной работе других и сайт несколько минут был в дауне пока не стабилизировалась работа.
После рeстарта на первой машине график показал активное использование диска, lighttpd начал свопить и забил 10 Гб свопа за минуты.
Эффект появился после апгрейда до 1.28 с 1.27.
Как можно вылечить lighttpd от утечки памяти?

Спасибо.

LightTPD (на Cygwin) в составе коммерческого софта под Windows?

Хочу использовать сборку LightTPD на Windows под Cygwin в качестве фронтэнда для FastCGI-модуля в коммерческом продукте. Продукт вместе со всей этой сборкой клиенты инсталлируют на свои машины инсталлятором. В сборке используется только бинарий LightTPD (который необходимо тянет за собой Cygwin1.dll и прочую радость). Код сервера я не трогаю, мой только фронтэнд, он нативный и Cygwin не использует.



Автор этой сборки LightTPD утверждает, что она лицензируется по BSD. Но, однако же, у Cygwin GPL-лицензия!



Могу ли я использовать сборку в коммерческом софте (конечно, соблюдая BSD)?

Проксирование *.example.com в *.localTLD?

Необходимо проксировать http запросы *.example.com в *.localTLD, при том если somedomain.localTLD не резольвится нужно выкинуть на дефолтную страничку (думаю, это через error page для 502 Bad gateway можно сделать).


Как в nginx, lighttpd, apache сделать такой хитрый прокси с зарание не определенными доменами?

Почему в Chrome нельзя редактировать печеньки?

Вот интересно.

В Хроме отличные developer tools.

Кто-нибудь знает, по каким соображениям они запретили редактировать кукисы, и планируют ли сделать это?

Про Edit This Cookie знаю, но он довольно-таки кривой и сырой. Остальные ещё хуже.

Вот suggestion на гугловском форуме по сабжу.

Или, может есть какие-нибудь плагины, которые позволяют редактировать печеньки прямо в Developer Tools? Ведь удобно же. Как, например, в firebug+firecookie.

Cookie в Android

Можно ли в приложении получить куки браузера Android и применить их для HttpClient (HttpClient парсит страницу, в которой пользователь должен быть авторизован, для этого и нужны куки)? Если да, то как. Заранее благодарен!

Суб доменные сессии через аякс запросы

Вот начал разбирать эту тему, нашел интересную проблему:
Установил параметры в .htacess
php_value session.cookie_domain .portal.my
<IfModule mod_headers.c>
Header set Access-Control-Allow-Origin "*"
</IfModule >
В php указал для всех кук те же параметры
session_set_cookie_params(60*60*24*14,'/','.portal.my');
Проверил — все куки нормально ставятся на .portal.my и доступны с любых под доменов. Но проблема возникла в аякс запросах: Параметр «Header set Access-Control-Allow-Origin „*“» разрешает делать аякс запросы на суб домены, но куки, которые с них приходят он игнорирует, хотя фаербаг показывает, что они приходят. Подскажите, как с этим бороться?