Тълкуване на HTTP headers

[Чудомир]

Днес бях помолен да асистирам от разстояние на един много болен пациент...След много часове кликане наляво-надясно и операции на "отворена рана" се стигна и до решаването на следния проблем:

Юзера има поща в МСН и клика на линка http://mail.live.com/ от http://uk.msn.com, за да стигне до логването за пощата...

1. При отваряне на страницата логото се вижда три пъти, 2 пъти в нещо като фрейм едно под друго и третото вече е страницата (има все едно 3 фрейма един в друг). Не разбирам много, но веднага се усъмних за някв крос саид скриптинг...и се опитах да анализирам ХТТП хедърите:

От двете ПЦта се вика този УРЛ:
http://login.live.com/login.srf?wa=wsig ... &mkt=en-us

От мойто ПЦ се вижда това:
Raw-Anfrage
GET /login.srf?wa=wsignin1.0&rpsnv=11&ct=1276452925&rver=6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.aspx&lc=1033&id=64855&mkt=en-us HTTP/1.1
User-Agent: Opera/9.80 (Windows NT 6.1; U; de) Presto/2.5.24 Version/10.53
Host: login.live.com
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: de-DE,de;q=0.9,en;q=0.8
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Cookie: MSPRequ=lt=1276452749&id=64855&co=1; MSPOK=$uuid-f8b01fc8-a762-44c0-8d00-d7cf9c5f994c$uuid-e377b710-6840-41a7-be95-f8048c19c005$uuid-364b6337-77a0-42b3-849b-960ac9122e20$uuid-5fbd49dd-aafd-44b7-99cc-90b202355034$uuid-2f56ba9d-ef37-44e3-a539-d908944dd6dd$uuid-8ff53584-1cc8-4b95-86a6-57f5464ff8eb$uuid-21d94fdd-84dc-4905-82d8-d4981cced8c8$uuid-7364fd29-ab2a-4b8c-af1e-eeb90ffe2e7c; CkTst=G1276452744444; MUID=352cf850de554e5b832ea218c76775fd; wlidperf=throughput=6&latency=490
Cookie2: $Version=1
Connection: Keep-Alive, TE
TE: deflate, gzip, chunked, identity, trailers

Raw-Antwort
HTTP/1.1 200 OK
Cache-Control: no-cache
Connection: close
Date: Sun, 13 Jun 2010 18:18:10 GMT
Pragma: no-cache
Content-Type: text/html; charset=utf-8
Expires: Sun, 13 Jun 2010 18:17:10 GMT
Server: Microsoft-IIS/6.0
PPServer: PPV: 30 H: BAYIDSLGN1O09 V: 0
P3P: CP="DSP CUR OTPi IND OTRi ONL FIN"
Set-Cookie: MSPRequ=lt=1276453090&co=1&id=64855; path=/;version=1
Set-Cookie: MSPOK=$uuid-f8b01fc8-a762-44c0-8d00-d7cf9c5f994c$uuid-e377b710-6840-41a7-be95-f8048c19c005$uuid-364b6337-77a0-42b3-849b-960ac9122e20$uuid-5fbd49dd-aafd-44b7-99cc-90b202355034$uuid-2f56ba9d-ef37-44e3-a539-d908944dd6dd$uuid-8ff53584-1cc8-4b95-86a6-57f5464ff8eb$uuid-21d94fdd-84dc-4905-82d8-d4981cced8c8$uuid-7364fd29-ab2a-4b8c-af1e-eeb90ffe2e7c$uuid-2d5601b4-dd42-48c5-807c-a56161efcf9b; domain=login.live.com;path=/;version=1
X-Frame-Options: deny
Content-Encoding: deflate
Vary: Accept-Encoding
Transfer-Encoding: chunked

От чуждото ПЦ се вижда това:
Raw request
GET /b/ss/msnportalukhome/1/H.1-pdv-2/1276452924217?[AQB]&hp=0&c12=http%3A%2F%2Fmail.live.com%2F&c13=head%3Eheader&c15=1&c16=Hotmail&oi=82&oid=http%3A%2F%2Fmail.live.com%2F&ot=A&pev1=http%3A%2F%2Fmail.live.com%2F&pev2=Hotmail&v11=Hotmail&v12=http%3A%2F%2Fmail.live.com%2F&pageName=UK+Homepage&pid=UK+Homepage&c17=UK+Homepage%3AMSFT&bh=387&bw=1406&g=http%3A%2F%2Fuk.msn.com%2F&s=1440x900&k=Y&t=13%2F5%2F2010+19%3A13%3A38+0+-60&ndh=1&pidt=1&pe=lnk_o&c38=V15&events=events4&c11=click&c=32&v=Y&j=1.3&ns=msnportal&[AQE] HTTP/1.1
User-Agent: Opera/9.80 (Windows NT 5.1; U; en) Presto/2.5.24 Version/10.53
Host: msnportal.112.2o7.net
Accept: text/html, application/xml;q=0.9, application/xhtml+xml, image/png, image/jpeg, image/gif, image/x-xbitmap, */*;q=0.1
Accept-Language: en-US,en;q=0.9
Accept-Charset: iso-8859-1, utf-8, utf-16, *;q=0.1
Accept-Encoding: deflate, gzip, x-gzip, identity, *;q=0
Referer: http://uk.msn.com/
Cookie: s_vi=[CS]v1|4A504B3000004471-A2B0B98000002E2[CE]; s_vi_x7Dcx7Ex60x7Fbdqx7Cxxx7Fdx7Dqyx7C=[CS]v4|25EC53770515934B-60000176800D44B8|4BF1C0B7[CE]; s_vi_x7Cevagx60fapqgpcx7Cpbfegzq=[CS]v4|260006E0051D3C34-40000126A0224546|4C000DBF[CE]
Cookie2: $Version=1
Connection: Keep-Alive, TE

Raw Response
HTTP/1.1 200 OK
Date: Sun, 13 Jun 2010 18:15:26 GMT
Server: Omniture DC/2.0.0
X-C: ms-4.2.6
Expires: Sat, 12 Jun 2010 18:15:26 GMT
Last-Modified: Mon, 14 Jun 2010 18:15:26 GMT
Cache-Control: no-cache, no-store, must-revalidate, max-age=0, proxy-revalidate, no-transform, private
Pragma: no-cache
ETag: "4C15203E-4624-7EBE6BEC"
Vary: *
P3P: policyref="/w3c/p3p.xml", CP="NOI DSP COR NID PSA OUR IND COM NAV STA"
xserver: www353
Content-Length: 43
Keep-Alive: timeout=15
Connection: Keep-Alive
Content-Type: image/gif
TE: deflate, gzip, chunked, identity, trailers

Ясно е, че ПЦ 2 си говори с някой друг, който играе на развален телефон с МСН. Въпроса е как мога да го открия кой препраща трафика (нещо от Адобе е, защото Omniture е тяхна дъщерна), обаче не мога да разбера как става хавата...Някво ехе, дето комуникира на порт 80 ли трябва да търся...?

2. При натискане на Log out от пощата се появява съобщението, че не можахте да бъдете отрегистрирани проперли, защото ПЦто ви не приема куукис

Възможно ли е тва да се дължи на факта, че разговора минава през "посредник"?

[heimdal]

По-скоро това са бисквитки пуснати от MSN за трети лица:


Regular commercial cookies, nothing dangerous. They are placed in your PC after you visit some page in Internet, likely some MSN website. Could this even be your starting page?

They are placed there because your browser is not blocking them by default. If you absolutely must get rid off these three cookies, I'd suggest you go through IE options and locate the place where you can control which sites can place cookies in your PC.

Virus scanners do not pick up cookies, because cookies do not pose a threat.
Така, няма нищо смущаващо, аз бих предпочел да не ме персонализира по държава или регион (uk.msn.com).
Нито бих отворил yahoo.co.uk. Може оттам да му идва допълнително, де да ги знаеш на кого продават поведенчески профил на потребителите си
Не е фатално. regular commercial cookies. Някои програмки за проверка за spyware/adware ги засичат обаче като medium/high risk, тъй като все пак хората обичат конфиденциалността.