Разное

На моем сайте есть несколько страниц, которые я показываю не всем. Человек заполняет анкету, и тогда он получает меню, соответствующее введенной им информации о себе. Разумеется, ничего страшного не случится, если кто-то введет ложные данные. И даже если просмотрит все страницы. Просто с таким ограничением - интереснее.

Первоначально я просто писал, что регистрироваться можно только один раз. Как и следовало ожидать, все стали регистрироваться многократно, некоторые даже по 10 раз! Тогда я ввел контроль по cookie, и всё стало как надо. Но! Теперь опять появились двойники! Видимо, как-то ухитряются обойти это ограничение, ибо уж больно интересно, а что же "там"!

В принципе, ну и пусть. Раз прорываются, значит, им очень надо. Но, с другой стороны, мне все же интересно: а каким образом эти настойчивые посетители преодолевают мою cookie оборону? И сложно ли сделать так, чтобы повторная авторизация была исключена со 100% надежностью?

куки = файлы => можно редактировать
более того, Опера позволяет удобно менять значение любых печенек, так что это очень ненадежно для этих целей
лучше сессия + id

лучше сессия + id -не ожидал от вас такого, на мой взгяд это вообще не вариант.

100% - от повторной регистрации не защититесь, но можно попробовать сделать повторную регистрацию невыгодной.

"можно попробовать сделать повторную регистрацию невыгодной"

Каким образом?

>"можно попробовать сделать повторную регистрацию невыгодной"
>
>Каким образом?

Ну приблизительно вот так: http://softtime.ru/forum/read.php?id_forum=1&id_theme=43985

Хотя тема не до конца раскрыта.

ой, я не в тему малость, пардон
4 часа за компом сразу после инста...

проверка мыла

А нельзя ли чего придумать, опираясь на IP посетителя?

учитывая, что могут сидеть несколько с одного ip у одного провайдера...

Отвечу вам словами Трианона: "Не трогайте ай-пи он не ваш!!!" Ай-пи есть смысл проверять в комплексе вместе с другими параметрами (например юзер агент). Допустим если во время сессии изменился ай-пи или юзер агент или ещё что, то запросить повторную авторизацию (для подстраховки)

ой, я не в тему малость, пардон
Я же говорю, что не ожидал от вас))) и на 90% был уверен, что вы подразумевали другое, а именно вас сбили с толку слова Владимира "чтобы повторная авторизация", хотя речь изначально шла о регистрации.

в куки хранить зашифрованные данные, для шифрованния данных использовать ключ в виде id, после можно дешифровать эти данные. Если сложно написать самому класс шифрования данных с ключом, то вомзожно найти в инете много таковых в инете.

http://phpclasses.org - найдете все интересующие вас классы

Надёжнее куки - только зашифрованный куки, переданный по шифрованному HTTPS-соединению.

У меня получается так, что человек у себя стирает куки, и заходит вновь, но я его опознать уже не могу. Так что шифрование здесь ничем не поможет.

А вот я слышал о каком-то способе, когда учитывают серийный номер процессора или что-то в этом роде. Например, когда программу используешь в триале, то её повторная установка срок триала не продлевает.

Такое возможно?

По большому счёту нет - это всё нереально или требует установки cookie или ActiveX (который ни один пользователь в здравом уме не установит).

PS Все протоколы 70-х, 80-х годов - тогда о бизнесе, безопасности никто не думал - сеть была маленькая, свзывала в основном университеты и фанатиков, вирусов не было. А сейчас эта махина на столько разрослась, что вышла де факто из под управления - заменить в ней что-то очень непросто.