Сначала я стал писать это, как коммент к статье.
Потом, малось усомнившись в последнем выводе, решил написать приватом на пхпклубе.
Однако решил не светить новый ник и сообразил написать здесь.
Вот ссылка для тех, кто не знает, о чем речь:
http://detail.phpclub.net/article/sessionsСтатья замечательная.
Но только до середины.
Во всяком случае, у меня есть вопросы к автору.
К использованию дополнительных заголовков, как лишней проверки, у меня претензий нет.
Но вот пресловутые отпечатки... Это какая-то скользкая и неочевидная тема. По ходу, мужик высосал ее из пальца. Отсюда и отпечатки.
Чего только стоит необходимость посылать их руками - насмарку идет встроенный механизм дополнения ссылок!
Опять же = заголвки в этом отпечатке лишние - достаточно и секретного слова с сидом.
По-моему, это голое теоретизирование.
ОЧЕНЬ меня покоробила фраза "Другие заголовки могут быть добавлены ". Возможно, это огрех перевода, но если бы мы могли заставлять браузер посылать произвольные зголовки! Тогда бы и проблемы сессий не было! Не заголовки, а переменные. Это важный момент.
Абзац про передавать сид гетом, а отпечаток в куке - это детский, блин, лепет. Это не "допольнительная надежность", а засовывание головы в песок.
Далее, и самое, наверное, главное.
Собственно, сам механизм отпечатков строится на ТОЙ ЖЕ САМОЙ ПРОВЕРКЕ заголовков.
То есть, зачем подделывать отпечаток, который мастер кряхтя и потея впендюривал каждой ссылке и форме, если достаточно придти с теми же самыми заголовками (проверка номер 2), когда можно просто прислать его, и проверка будет положительной! А при других заголовках и вторая не пройдет.
Я правильно понимаю, или чего-то упустил?
Сосбвтенно, в этом и есть вопрос данного поста.