Снова перечитал тред и статью...
желающим поучаствовать в дискуссии:
Из всей статьи достаточно прочитать раздел "Предотвращение ВСД"; весь этот тред - вокруг него.
Макс:
>> идея может быть и интересная, но нужна лишь тем, у кого нет денег на нормальный хостинг
Да, начинающим, на которых, по-моему, и расчитана статья.
>> ИМХО в качестве отпечатка лучше хранить IP (его сложнее подделать) или его хеш. А то что у dialup-юзеров может IP смениться при обрыве связи - не страшно (еще раз авторизацию пройдет).
Автор статьи объясняет своё видение: "разные пользователи могут использовать одни и те же IP-адреса (как в случае использования во многих компьютерных лабораториях HTTP-прокси)".
RomikChef:
>> Но вот пресловутые отпечатки... Это какая-то скользкая и неочевидная тема. По ходу, мужик высосал ее из пальца.
>>Собственно, сам механизм отпечатков строится на ТОЙ ЖЕ САМОЙ ПРОВЕРКЕ заголовков.
>> все, вижу. он сам об этом пишет, ... типа, с отпечатками надо несколько заголовков подделывать. Ну да, а без отпечатков, типа, несколько заголовков проверять нельзя.
Я согласен, что выделять "отпечатки" (в том виде, как это сделано в Листинге 5, с сохранением в $_SESSION[\'fingerprint\'], т.е. в сессии) в "третий пункт" - не правильно. Если в сессии, то пусть даже и не один, а несколько заголовков + префикс и ID сессии, - всё равно это тот же "второй пункт".
>> Если куки поддерживаются, то какой смысл вообще что-то гетом передавать?
Наверное, потому что автор считает, что "для тех, кто разрешил куки, может быть обеспечен дополнительный уровень защиты. ... если атакующий получит уникальный идентификатор через уязвимость браузера, "отпечатки пальцев", вероятно, всё ещё будут ему неизвестны.". Т.е., например, уникальный идентификатор из кук получил через уязвимость, а GET-запроса не видел. Я (пока) так это понимаю.
>> зачем подделывать отпечаток, который мастер кряхтя и потея впендюривал каждой ссылке и форме, если достаточно придти с теми же самыми заголовками (проверка номер 2), когда можно просто прислать его, и проверка будет положительной! А при других заголовках и вторая не пройдет.
>> если хакер пришлет запрос с нужными заголовками и отпечатками, то ему НЕ НАДО УГАДЫВАТЬ отпечаток. Ему просто надо поймать отпечаток вместе с сидом. Это равнозначные вещи. Не поймал отпечаток - значит и сид не поймает. Поймал сид - значит, и отпечаток у него есть.
Кроме случая, когда ID сессии - в куках, отпечаток - GETом.
>> Чего только стоит необходимость посылать их руками - насмарку идет встроенный механизм дополнения ссылок!
>> в том то и дело, что отпечатки должны передаваться. ... А, главное, если не передавать, то какой в этом ваще смысл?
Да, уже согласен.
Итого, пока мой закипевший мозг думает, что накладнореализемый пункт 3 имеет право на жизнь, если ID сессии - в куках, отпечаток - GETом.
До следующего вдохновения... :-)