читаем РФС, например здесь:
http://www.ietf.org/rfc/rfc2109.txt
там написано, что:
1. Оставлять куки для других доменов можно
2. Если оставляем куки для других доменов, то должны указать доменный суффикс.
3. Нельзя в качестве доменного суффикса указывать домен первого или нулевого уровня. Т.е. минимум - aaa.bbb.
4. Нельзя в качестве домена указывать ип-адрес
5. В начале доменного суффикса нужно поставить точку.
6. Домен, который ставит куки, должен сам подходить под тот доменный суффикс, которому он ставит куки. Т.е. нельзя оставить куки с домена, например qqq.
www.eee для доменного суффикса .wer.eee
7. Нельзя ставить куки для доменов, которые более чем на один уровень отличаются от доменного суффикса, т.е. если указываем доменный суффикс .wer.eee, то с домена qqq.
www.wer.eee куки не будут видны, потому что отличие больше чем на один уровень.
Там даже примеры есть, из которых все понятно:
* A Set-Cookie from request-host y.x.foo.com for Domain=.foo.com
would be rejected, because H is y.x and contains a dot.
* A Set-Cookie from request-host x.foo.com for Domain=.foo.com would
be accepted.
* A Set-Cookie with Domain=.com or Domain=.com., will always be
rejected, because there is no embedded dot.
думаю, именно так и реализована авторизация на passport.yandex.ru. У них же ш все службы на yandex.ru заканчиваются. Попробуйте зайти на narod.ru - он вас автоматически переборсит на narod.yandex.ru
Я только сейчас понял, зачем он это делает %)
Там, кстати, есть еще один пример:
* A Set-Cookie with Domain=ajax.com will be rejected because the
value for Domain does not begin with a dot.
Это означает, что нельзя указывать конкретный домен, допустимы только суффиксы, а значит куки будут передаваться другим доменам, которые заканчиваются на этот суффикс. Но...
To make the cookie available on all subdomains of example.com then you'd set it to '.example.com'. The . is not required but makes it compatible with more browsers. Setting it to
www.example.com will make the cookie only available in the www subdomain.
Это уже от браузера зависит, установит он такой куки или нет.
Но если браузер не поддерживает домен без точки в начале, то он вообще такой куки не установит.