Куки форума

Разбираюсь с XenForo 1.0.4 (на Denwer) и случано наткнулся
Захожу на сайт под пользователем Борис из Opera, Firefox, Chrome и IE (Одновременно!)
При это форум не "жужжит" и спокойно одновременно допускает такое мульти-входовое безобразие!
Получается что в куке хранится только IP? Мне кажется, что в куке хранить нужно:

1. IP
2. ОС
3. 
   
   Браузер + версия + плагины​
4. 
   
   Разрешение монитора​

И если пользователь сначала зашел Оперой, а потом залогинился через Firefox, то предыдущая кука Оперы должна быть недействительной!
Кука должна хранить полную информацию о user agent!
Яндекс, Бегун, Гугл не спроста идентифицируют не только по IP, но и по всем остальным параметрам. Вот пример Яши:



Вы не считаете, что было бы целесообразным задействовать в куке максимально полную информацию о userAgent?

 

Нет, я так не считаю. Во-первых, куки не резиновые и не стоит в них кучу лишней инфы. Во-вторых, как прикажете потом проверять работу в разных браузерах? Постоянно перелогиниваться? Нет уж, увольте.

Чем вас так не устраивает текущее поведение?

 

На счет перелогинивания, так это для разработчика напряг, а не для пользователя.

ИМХО: если кука зашифрована и в ней кроме IP есть и userAgent (что не так то и много по весу), то это в любом случае железобетонная надежность!
Кроме того зачем обычному юзеру логиниться на форум из 5 браузеров сразу?
Совершенно незачем!
А раз незачем, то и отрубание такой возможности излишеством не станет!

Предложенная мною идентификация не новость.
Тот же адсенс ее использует, как частичную защиту от скликивания.
А стратегическое недопонимание "по вопросу кук", может привести к печальным последствиям.

Пример: вы ставите адсенс, зарабатываете 200 баксов и не получили их потому, что кто то понимает как это сделать используя ситуацию, о которой идет речь!

 

Простите, но куки ни разу не железобетонная надежность.

Да и форум ни разу не адсенс.

 

Вообще-то такое поведение, как у ксена, является нормой для большинства форумов, CMS и других ресурсов. Другое дело, что движок может учитывать такие сессии, а может и не учитывать. Кстати, это можно использовать по тому же принципу, как в протоколе XMPP/Jabber, где пользователь может быть залогинен и работать одновременно сразу с нескольких устройств/клиентов, но при этом имеется дополнительный признак отличия, чтобы можно было написать пользователю в определенный клиент. В общем, использовать это можно по разному. Чисто гипотетически, если на сайте будет присутствовать чат в виде плагина или штатно, который будет уметь отличать сессии одного пользователя, то можно по аналогии будет это использовать. Ну и т.д. и т.п.
Сохраняется ли в ксене информация, сколько было одновременных сессий и каких, сие мне не известно. Но лично мне это и не нужно.
--- добавлено : Aug 29, 2011 12:55 PM ---
И да, IP+логин+useragent - совсем не дает уникальности. На сегодняшний день известные средства - это на стороне сервера очищать куки, если пользователь зашел с другого браузера (юзерагент сменился), а также применять одноразовые токены, что существенно увеличит нагрузку на сервер. А нужно ли это на самом деле, если достаточно IP+логин? Но вот усложнить пользователям жизнь вполне будет возможно.
Если уж очень хочется железобетонности, то достаточно будет применять HTTPS с выдачей каждому пользователю уникального ключа (так обычно банки работают). Попутно это будет работать практически с любым движком.

 

Не могу с Вами согласиться
Если кука персонально шифруется (ни кто же ведь не запрещает шифровать куку по одному из нескольких возможных вариантов-алгоритмов, при этом каждый раз используя ключ из таблицы и т.д. вариантов не мало).
Тогда хацкеру не имеющему доступ к исходникам (тут еще можно и зазендить), будет невозможно понять принцип идентификации куки.

Да! Форум не адсенс! Если на нем не стоит адсенс
А если стоит => то никуда не деться от игры по правилам адсенса.
Или (как вариант), нарушить правила адсенса и не использовать его никогда.

Я не спорю с Вами Pepelac, а просто выражаю свою возможно глупую мысль.

 

Эм. Мне кажется, что для таких вещей существуют гораздо лучшие способы, нежели шифровать/дешифровать кукину и кодировать исходники зендом.