Pełna wersja: logowanie bez cookies
Witam, bawie sie php+mysql i przyszel czas na skrypt rejestracji // logowania.. Poniewaz chce stronke zrobic jak najbardziej profesjonalna chcialem ominac uzywanie cookies (co prawda tylko jakies 1-2% internautow ma zablokowane cookies, ale zawsze cos)... Problem pojawia sie, gdy chcialbym zachowac sesje i moc do niej wrocic po resecie kompa np... Da sie cosik takiego zrobic nie zostawiajac cookies?
zachowanie sesji to chyba nie jest dobry pomysł ze względów bezpieczeństwa.
zapisuj dane użytkowników w bazie danych...
zapisuj dane użytkowników w bazie danych...
Tak wlasnie teraz robie, wszystko wrzucam do mysql, ale na jakiej podstawie sprawdzac nowego usera? tzn. co powinienem sprawdzac zeby zdefiniowac ze to jest moj user a nie nowy?
Moim zdaniem nie powinieneś wychodzić z założenia, że alplikacja powinna działać bez "cookies" tak samo ja z nimi.
Po prostu jak ktoś nie ma "cookies" to dostanie mniej funkcji na witrynie.
Nawet jak sprawdzisz :
IP + Przeglądarkę + System + Język + Róznica czasu od poprzedniej akcji mniejesz od jakiejś stałej ( czyli niemalże wszystko to co może zidentywikować usera ) to i tak nie jesteś w stanie wyeliminować sytuacji :
siadam w kafejce -> loguję się na Twoją stronkę -> siada prąd -> wkurzam się i wychodzę -> za 2 min. jest prąd -> ktoś inny pisze news'a jako ja na Twojej stronie.
Pewnych rzeczy nie da się osiągnąć bez cookies.
Ponowne logowanie :/
Po prostu jak ktoś nie ma "cookies" to dostanie mniej funkcji na witrynie.
Nawet jak sprawdzisz :
IP + Przeglądarkę + System + Język + Róznica czasu od poprzedniej akcji mniejesz od jakiejś stałej ( czyli niemalże wszystko to co może zidentywikować usera ) to i tak nie jesteś w stanie wyeliminować sytuacji :
siadam w kafejce -> loguję się na Twoją stronkę -> siada prąd -> wkurzam się i wychodzę -> za 2 min. jest prąd -> ktoś inny pisze news'a jako ja na Twojej stronie.
Pewnych rzeczy nie da się osiągnąć bez cookies.
Cytat(SmokU ( 2005-01-16 20:44:38 ))
( ... ) ale na jakiej podstawie sprawdzac nowego usera? ( ... ) to jest moj user a nie nowy?
Ponowne logowanie :/
To mnie zmartwiles 
Chcialem napisac (a reczaj napisalem juz) system logowanie oparty o sesje zapisane z bazie danych i działa dość fajnie... Jest mała szansa na przypadkowy dostęp osoby trzeciej. Wygląda to tak: user dostaje unikatowy SID, dodawany do URL'a, do bazy zapisywane są dane - SID, nick, aktualne ip, start sesji, ostatnia akcja. Po każdym refreshu skrypt porównuje ip usera dla danego SID a następnie sprawdza ostatni akcje, jesli wartość ost akcji jest mniejsza niż time()-90 to usuwa wpis z bazy danych i po ptokach dla usera... Nie jest to praktyczne niestety, kiedy user siedzi na jednej podstronie bezczynnie przez 15minut, bądź też chce wraca po resecie - za każdym razem ponowne logowanie
Chcialem napisac (a reczaj napisalem juz) system logowanie oparty o sesje zapisane z bazie danych i działa dość fajnie... Jest mała szansa na przypadkowy dostęp osoby trzeciej. Wygląda to tak: user dostaje unikatowy SID, dodawany do URL'a, do bazy zapisywane są dane - SID, nick, aktualne ip, start sesji, ostatnia akcja. Po każdym refreshu skrypt porównuje ip usera dla danego SID a następnie sprawdza ostatni akcje, jesli wartość ost akcji jest mniejsza niż time()-90 to usuwa wpis z bazy danych i po ptokach dla usera... Nie jest to praktyczne niestety, kiedy user siedzi na jednej podstronie bezczynnie przez 15minut, bądź też chce wraca po resecie - za każdym razem ponowne logowanie
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.