User Agent i adres IP dobre zabezpeiczenie?! Opcje

[Mateusz Bogolubo...]

Chciałbym oprzeć bezpieczeństwo skryptu m.in. o informacje o User Agent i adres IP. Wiem, że jest możliwość zmiany tychże informacji i nie jest to jednoznaczne identyfikowanie użytkownika.

Jednak nie na tym problem polega. Bardziej intryguje mnie to czy np. firewall lub inne podobne oprogramowanie/urządzenie zmienia te informacje za każdym wysłaniem żądania.

Nie chciałbym po prostu, aby użytkownik za każdym razem został wylogowany, ponieważ dane te ulegają zmianie.

PS. Zmiana adresu IP po wyłączeniu i ponownym włączeniu komputera nie jest problemem.

[Mateusz Bogolubo...]

Jeśli przechowujesz w bazie informacje o logowaniu – data, ip etc, to możesz zrobić skrót md5 z tych informacji, zachować go jako zmienną sesyjną i u użytkownika jako ciasteczko. Później sprawdzać, czy dane się zgadzają.

Ale jeśli dane się zmieniają (o czym była mowa wyżej) to i tak nie ma sensu tego robić.

Zastanawiam się jeszcze ile można poświecić dla bezpieczeństwa. Czy utrudnienie rejestracji jakiejś części użytkownikom będzie dobrym rozwiązaniem (powiedzmy, że coś za coś)? Wiem, że brak obsługi cookies też uniemożliwi logowanie się przy mojej implementacji.

Ten post edytował Mateusz Bogolubow 26.09.2008, 20:59:40

[michalkjp]

Chodziło mi o coś takiego:

• użytkownik się loguje
• zapisujesz w bazie dane o logowaniu, robisz skrót tych danych, zapisujesz jako zmienną sesyjną, wysyłasz jako cookie
• porównujesz cookie u użytkownika z tym co jest zapisane w sesji

Dane nie będą się zmieniać.

Tylko nie wiem, czy takie "zabezpieczenie" ma jakikolwiek sens.

Wiem, że brak obsługi cookies też uniemożliwi logowanie się przy mojej implementacji.

Ciekawe. Mógłbyś podać jakieś szczegóły co zapisujesz jako ciasteczko przy logowaniu?