1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

Куки форума

Тема в разделе "Основные вопросы по XenForo", создана пользователем Бboris, 29 авг 2011.

Загрузка
  1. Бboris

    Бboris Тролль

    Регистрация:
    20.08.11
    Сообщения:
    205
    Симпатии:
    33
    Разбираюсь с XenForo 1.0.4 (на Denwer) и случано наткнулся :)
    Захожу на сайт под пользователем Борис из Opera, Firefox, Chrome и IE (Одновременно!)
    При это форум не "жужжит" и спокойно одновременно допускает такое мульти-входовое безобразие!
    Получается что в куке хранится только IP? Мне кажется, что в куке хранить нужно:
    1. IP
    2. ОС

    3. Браузер + версия + плагины​

    4. Разрешение монитора​
    И если пользователь сначала зашел Оперой, а потом залогинился через Firefox, то предыдущая кука Оперы должна быть недействительной!
    Кука должна хранить полную информацию о user agent!
    Яндекс, Бегун, Гугл не спроста идентифицируют не только по IP, но и по всем остальным параметрам. Вот пример Яши:

    Куки.png

    Вы не считаете, что было бы целесообразным задействовать в куке максимально полную информацию о userAgent?
     
  2. Pepelac

    Pepelac Продам луц в бутылках Команда форума

    Регистрация:
    28.09.10
    Сообщения:
    1.794
    Симпатии:
    1.349
    Нет, я так не считаю. Во-первых, куки не резиновые и не стоит в них кучу лишней инфы. Во-вторых, как прикажете потом проверять работу в разных браузерах? Постоянно перелогиниваться? Нет уж, увольте.

    Чем вас так не устраивает текущее поведение?
     
  3. Бboris

    Бboris Тролль

    Регистрация:
    20.08.11
    Сообщения:
    205
    Симпатии:
    33
    На счет перелогинивания, так это для разработчика напряг, а не для пользователя.:)

    ИМХО: если кука зашифрована и в ней кроме IP есть и userAgent (что не так то и много по весу), то это в любом случае железобетонная надежность!
    Кроме того зачем обычному юзеру логиниться на форум из 5 браузеров сразу?
    Совершенно незачем! :)
    А раз незачем, то и отрубание такой возможности излишеством не станет!

    Предложенная мною идентификация не новость.
    Тот же адсенс ее использует, как частичную защиту от скликивания.
    А стратегическое недопонимание "по вопросу кук", может привести к печальным последствиям.

    Пример: вы ставите адсенс, зарабатываете 200 баксов и не получили их потому, что кто то понимает как это сделать используя ситуацию, о которой идет речь!
     
  4. Pepelac

    Pepelac Продам луц в бутылках Команда форума

    Регистрация:
    28.09.10
    Сообщения:
    1.794
    Симпатии:
    1.349
    Простите, но куки ни разу не железобетонная надежность.

    Да и форум ни разу не адсенс.
     
    CyberAP нравится это.
  5. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.526
    Симпатии:
    3.322
    Версия XF:
    1.5.9
    Вообще-то такое поведение, как у ксена, является нормой для большинства форумов, CMS и других ресурсов. Другое дело, что движок может учитывать такие сессии, а может и не учитывать. Кстати, это можно использовать по тому же принципу, как в протоколе XMPP/Jabber, где пользователь может быть залогинен и работать одновременно сразу с нескольких устройств/клиентов, но при этом имеется дополнительный признак отличия, чтобы можно было написать пользователю в определенный клиент. В общем, использовать это можно по разному. Чисто гипотетически, если на сайте будет присутствовать чат в виде плагина или штатно, который будет уметь отличать сессии одного пользователя, то можно по аналогии будет это использовать. Ну и т.д. и т.п.
    Сохраняется ли в ксене информация, сколько было одновременных сессий и каких, сие мне не известно. Но лично мне это и не нужно.
    --- добавлено : Aug 29, 2011 12:55 PM ---
    И да, IP+логин+useragent - совсем не дает уникальности. На сегодняшний день известные средства - это на стороне сервера очищать куки, если пользователь зашел с другого браузера (юзерагент сменился), а также применять одноразовые токены, что существенно увеличит нагрузку на сервер. А нужно ли это на самом деле, если достаточно IP+логин? Но вот усложнить пользователям жизнь вполне будет возможно.
    Если уж очень хочется железобетонности, то достаточно будет применять HTTPS с выдачей каждому пользователю уникального ключа (так обычно банки работают). Попутно это будет работать практически с любым движком.
     
  6. Бboris

    Бboris Тролль

    Регистрация:
    20.08.11
    Сообщения:
    205
    Симпатии:
    33
    Не могу с Вами согласиться :)
    Если кука персонально шифруется (ни кто же ведь не запрещает шифровать куку по одному из нескольких возможных вариантов-алгоритмов, при этом каждый раз используя ключ из таблицы и т.д. вариантов не мало).
    Тогда хацкеру не имеющему доступ к исходникам (тут еще можно и зазендить), будет невозможно понять принцип идентификации куки.

    Да! Форум не адсенс! Если на нем не стоит адсенс :)
    А если стоит => то никуда не деться от игры по правилам адсенса.
    Или (как вариант), нарушить правила адсенса и не использовать его никогда.

    Я не спорю с Вами Pepelac, а просто выражаю свою возможно глупую мысль.
     
  7. Pepelac

    Pepelac Продам луц в бутылках Команда форума

    Регистрация:
    28.09.10
    Сообщения:
    1.794
    Симпатии:
    1.349
    Эм. Мне кажется, что для таких вещей существуют гораздо лучшие способы, нежели шифровать/дешифровать кукину и кодировать исходники зендом.
     

Поделиться этой страницей