Все отпечатки из необязательного HTTP-заголовка User-Agent.
Управлять доступом на основе необязательного заголовка!!! Tакое могли придумать только PHP-шники :)

Пользователи навешивают на свой броузер разные дополнения и надстройки. И, наверно, по недоразумению некоторые из них (Google Toolbar, Спутник@Mail.Ru и другие) дописывают в User-Agent всякую хрень. А теперь вопрос, как будет выглядеть заголовок от запроса к запросу, если у меня установлены несколько дополнений модифицирующих User-Agent? А если дописывать будут поочередно, сперва Google подписался, а потом Mail.ru? Несколько раз логинится на сайте?

Отслеживать IP? А прокси? За одним IP сидят целые организации. Я скинул ссылку своим коллегам в офисе, аккаунт ушел.

Была проблема - идентификация пользователя, решили еще в прошлом тысячелетии - придумали куки. Отключите куки в броузере и попробуйте залогинится на www.paypal.com, www.ebay.com, www.google.com, www.yandex.ru - никто не будет рисовать SID в URL-e.

Но PHP-шники строчат статьи на эту тему и засоряют голову наивным программистам своим бредом.

dimabest
Но PHP-шники строчат статьи на эту тему и засоряют голову наивным программистам своим бредом.

Зачем передергивать и причем тут PHP-шники? Гугол может себе позволить при отключенных куках выдать страницу с рекомендациями как их включить, вы же должны учитывать что у 20 процентов пользователей куки отключены и они не будут разбираться в настройках браузера, а просто уйдут с сайта.

dimabest
Управлять доступом на основе необязательного заголовка!!! Tакое могли придумать только PHP-шники

Кто вам сказала что я предлагаю управлять доступом только на основе заголовков и ай пи? Мы говорили о возможном механизме контроля не был ли ураден ваш SID. И потом что за самомнение, что все строчат бред.

Кстати, вот решение для джанго http://www.stereoplex.com/blog/cookieless-django-sessions-and-authentication-with . Похоже автор тоже считает , что есть проблема с кука-сессиями. Наверное он тоже пишет бред. Да и в пхп, автодополнение юролов SID, всегда считалось крайним случаем, но он должен предусматриваться программистом

yanka
Зачем передергивать и причем тут PHP-шники?

PHP-шники придумали передавать SID в урлах, потом придумали всякие “отпечатки”, вместо простого - заставить пользователя включить куки.

yanka
Гугол может себе позволить при отключенных куках выдать страницу с рекомендациями как их включить

Так и нужно делать

Кстати, нашел интересное в Гугле: http://www.phpbbguru.net/community/topic27050.html
На форуме включили проверку сессий по IP и User-Agent, и словили “в логе ошибок уже 20 страниц” :)

Оказалось, юзер установил спутник@mail.ru и майл.ру агент, которые по очереди меняли User-Agent:
“mra 5.4 (build 02647); mrsputnik 2, 0, 1, 90 sw;”
“mrsputnik 2, 0, 1, 90 sw; mra 5.4 (build 02647);”

:)

yanka
Похоже автор тоже считает , что есть проблема с кука-сессиями. Наверное он тоже пишет бред.

Конечно бред, ибо нет никакой проблемы. Надо сделать как Google, PayPal, eBay и Yandex - просто показать страницу с просьбой включить cookie.

yanka
вы же должны учитывать что у 20 процентов пользователей куки отключены

20%. Одна пятая часть всех пользователей. Т.е. у каждого пятого пользователя отключены куки. Мдя…
А ещё спрашиваете про то, почему dimabest считает, что пэхэпэ'шники пишут бред…

dimabest
заставить пользователя включить куки

Согласен. А ещё заставить из поставить нормальный бравузер! :-)

dimabest
Была проблема - идентификация пользователя, решили еще в прошлом тысячелетии - придумали куки.

Я человек довольно далёкий от вёба, но со стороны в куках я вижу костыли. Ну да ладно, это так, лирика… Всё равно ничего другого пока нет.

ZZZ
20%. Одна пятая часть всех пользователей.

думаю, их на порядок меньше. Попробовал залогинится при отключенных куках на www.python.su , даже на PHP-шных www.vkontakte.ru и www.facebook.com - нигде не пускают. Делайте выводы :)

ZZZ
Я человек довольно далёкий от вёба, но со стороны в куках я вижу костыли. Ну да ладно, это так, лирика… Всё равно ничего другого пока нет.

И при этом ты выше пишешь:

ZZZ
20%. Одна пятая часть всех пользователей. Т.е. у каждого пятого пользователя отключены куки. Мдя…
А ещё спрашиваете про то, почему dimabest считает, что пэхэпэ'шники пишут бред…

Я не понимаю, при чем тут пхп? Это что своего рода снобизм?

yanka
Попробовал залогинится при отключенных куках на www.python.su

Удивительная вещь при снобском пренебрежении к пхп, форум на python.su работает на пхпэшном движке.

Можно и без кук и без всяких сидов в урлах.

Дайджест авторизацию еще никто не отменял - и включена она в каждом браузере, и отключить ее не получится.

Работает себе и работает…
Все поругивают, но ни у кого не хватает духу помочь сайту с допиливанием DjangoBB и переводом форума на него.