Slavytich

не совместим с:

Совместим. И правильно, моб. ограничивает действия, но принцип тот же.

ну и к слову https никто не запрещал)

Так, давайте определятся что мы пытаемся друг другу доказать. Идентификация юзеров плавно перешла в дискуссию о безопасности.

привязать куку к хуше от строчки аля useragent + ip(по вкусу) + любые другие поля которые зависят от браузера, в голову ничего не идиотического не приходит, но уверен что оно есть :) например то, что accept-language по разному преедается в браузерах

Я тоже любитель экстримальных штучек. Просто вам пытаюсь доказать что если куки выключены то есть альтернативы а вы настаиваете на куки, и, я конечно же согласен что со всякими привязками на обеих сторонах (server & client) всё будет нормально.

человек какой то фанатик

Может быть. А фанатик чего простите?

и что то за позиция, если не секрет?

В данном случае Вы полагаетесь на куки. Я же сторонник этого. Не в моих правилах это, отсылать важную инфу которая хранится в plain text. Это учитывая то, что я не беру во внимание свой механизм защиты от любых укусов. Но там уже другой разговор, что уже вне данной темы.

аа, олдскул у нас на пыхе?))

Я пальцем не показывал. Просто вообщем выразился, сам админ. Фраза улыбнула.

противоречишь милый.

Никак нет. Где вы это увидели? Суть моего поста что я НЕ использую куки.

с куками любой дурак правильно идентифицирует пользователя.

Ваша позиция мне ясна.

ага и смотреть в будущее

И это научимся, если школота захватит инет. Но этого надеюсь не случится.

phpdude
Не вопрос. Удивлять, думаю, нечем. Главная часть механизма довольно проста - идентифицируем юзера, его инфа и все его действия естественно логируется. Таким образоом у нас есть возможность проверять прошлое,  и это работает на 99.9% (0.1% - это процент технического парадокса, наверняка встечали). Это четвертая стадия всего механизма, первых 2 Я уже писал выше, а третяя переодическая смена сессии, то есть session_regenerate_id(). Итак имеем - если 1-е не работает идем ко 2-й, если и оно не true (что обычно мало вероятно) пробуем сессию из 3-й стадии, и если не проходит включаем 4-ю, которая вам возможно могла показатся дибилизмом(изза нагрузки или еще что-то, но там все ок), и в result-е имеем что нужно, крэкер идет дальше.
ТС-у очевидно требуется противоядие от session hijack-аттак. Кому нужно, код php думаю в миг накатают. Вроде всё.

mario
Для меня это дело принципа. А клиенты разные бывают, обычно все ок, но и не без ситуаций. Как пример - мобильный шоппинг на старых девайсах; или еще лучше - CLI.

marioб phpdude
Конечно, когда он, допустим, хотел купить у вас товара на $$$.

Нет, Я конечно знаю идеальное решение, просто думал его уже напишут.

Есть же среди простых смертных также индивидуумы которые не знают о куках вообще.

Верно, для пользователя всё должно быть прозрачно.

Привет. Если привязка ip к сессии не работает (динамика) - можно и привязку юзерагент-данных, и это не бред, но также имеет минус - меняться. Есть конечно еще способ.. Но он туп и костыли. Показывать не буду.

phpdude
предположим что куки у клиена off, действия?