Подскажите плиз, как более надёжно (чем через кукисы) идентифицировать заходящего на сайт пользователя? Желательно используя JS, но в принципе главное результат, поэтому можно заюзать что-нить кроме JS.

| Сообщение посчитали полезным:

Makys пишет:
как более надёжно (чем через кукисы) идентифицировать заходящего на сайт пользователя?
Логином и пассом

-----
iNTERNATiONAL CoDE CReW

| Сообщение посчитали полезным:

Сессии и cookie в PHP
ты про это??

| Сообщение посчитали полезным:

_taha_ пишет:
Сессии и cookie в PHP
ты про это??
Ну чёта типа того. Только сайт сплош на JS.
Spirit пишет:
Логином и пассом
Само собой я могу туда залогиницца, но из-за параноидальной безопасности долго там не продержишься. Через короткое время про меня забывают. Авторам предложил куки, сказали небезопасно. Вот и пытаюсь узнать надёжный метод авторизации и чтоб хватало на дольше. Типа проверять mac-адрес сетевухи или ещё как, есть же наверное методы?

| Сообщение посчитали полезным:

js - вообще не надежно =))) даже опасно.. у многих (и у меня) они отключены =
пускай делают на php, с сессиями и ssl

| Сообщение посчитали полезным:

_taha_ пишет:
js - вообще не надежно
В связи с дырами ие и других бровзеров многие отключают явускрипт и желатьельно не использовать в жизнено важных местах сайта.

-----
Md5 fcbb6c9c9a5029b24d70f2d67c7cca74

| Сообщение посчитали полезным:

Makys пишет:
Само собой я могу туда залогиницца, но из-за параноидальной безопасности долго там не продержишься. Через короткое время про меня забывают.

Делал я подобный проект. Авторизация через php + сессии, а для продления жизни сессии - через ajax по таймеру дергал пустую страничку с этого же сайта. На страничке просто проверялась авторизация и ничего не выводилось на экран, но сессия при этом обновлялась.

Можно обойтись и без JS, для этого делаешь невидимый фрейм и там эта же страничка, но с тегом типа

<meta http-equiv=Refresh content='120; url=coffee.php'>

раз в 2 минуты будет обновлять сессию. Время обновления, естественно, можно выставить нужное.

| Сообщение посчитали полезным:

ManHunter
А смысл обновлять сессию черех Ajax? Если чел гуляет по сайту, то и сессия будет жить. Если чел забил на сайт и свалил гулять или вообще ушел с сайта, то увы в целях безопасности лучше сессию после 5 минут простоя закрыть (по дефолту в пхп сессия автоматом закрывается после 5 или 15 минут простоя).

Makys
На чистом JS идентификацию без всяких PHP и прочих серверных скриптов не сделать помоему =) Или предлагаете засунуть логин и пасс в JS код и пускай все пяляться на него?

Для надежной авторизации юзай пхп/асп/свой_язык_программинга + сессии + привязка сессии к ИП. Тогда если и сопрут через XSS сессию, то всеравно ничего с ней не смогут сделать.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

ManHunter
а разве нельзя было установить время жизни сессии побольше? например -1

-----
MicroSoft? Is it some kind of a toilet paper?

| Сообщение посчитали полезным:

Tim
Не секьюрно =\ К тому же кому нужна толпа сессий в темповой папки?

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

Всем спасибо за ответы. По малу начинаю осознавать что затея изначально неправильная была.

| Сообщение посчитали полезным:

[HEX] пишет:
А смысл обновлять сессию черех Ajax? Если чел гуляет по сайту, то и сессия будет жить. Если чел забил на сайт и свалил гулять или вообще ушел с сайта, то увы в целях безопасности лучше сессию после 5 минут простоя закрыть
проект не подразумевал постоянное гуляние по сайту, и обновление сессий было единственным решением. иначе сессии подыхали раньше, чем к нему снова обращались, и пользователей выкидывало обратно на страницу авторизации.

| Сообщение посчитали полезным:

ManHunter
Интересный сайт по которому не гуляют и ничего не делают.
Наверное к подобным можно отнести только ресурсы предоставляющие медиа контент с длительностью более 15-30 минут прослушивания/просмотра. Хотя никто не запрещал увеличить срок жизни сесии на 2 часа в настройках пхп.

В общем полагаю подобную методу продления жизни сессии можно посчитать еденичным случаем и зачастую такое нигде не применяется.

-----
Computer Security Laboratory

| Сообщение посчитали полезным:

А почему сайт обязательно должен быть форумом или порталом? Конкретно этот - биллинговая система, в которую 1-2 человека заносят данные по мере их поступления в течение дня.
Но по поводу единичного случая согласен.

| Сообщение посчитали полезным:

У меня очень похожая ситуация. Не биллинг, но тоже в течении дня один чел может внести данные, а я к примеру эти данные могу посмотреть. А каждый раз логиницца утомляет. И к сожалению пасс и логин в адресной строке не проканывает, а то бы я себе кнопочку замутил.

| Сообщение посчитали полезным: