【问题标题】:Http Server can check whether two different requests are from same End-MachineHttp Server 可以检查两个不同的请求是否来自同一个 End-Machine
【发布时间】:2011-11-02 15:41:07
【问题描述】:

除了cookies/sessions(用户可以清除它们)之外,还有其他方法可以让HTTP 服务器检查两个不同的请求是否来自同一个END-POINT MACHINE。我搜索了很多,但很多人建议使用 cookie,而其他人则说检查远程机器的 IP 地址。问题是服务器无法获取END POINT MACHINE的IP地址,它获取代理服务器的IP等等等等

PS:在我的场景中,所有用户的IP地址都不会改变..请帮帮我

更新:用户需要提供一次密码,并且 CSRF 基本上保护了一次交易的完整性——我需要一种用户无需输入任何内容的解决方案,并且服务器可以知道两个不同的 HTTP 请求来自相同还是不同的客户端机器

UPDATE2:伙计们,我已经开始赏金+300 积分,以获得有效的解决方案——拜托,难道没有解决方案吗?是一个挑战....

【问题讨论】:

    标签: http httpwebrequest ip-address httpclient session-cookies


    【解决方案1】:

    我不知道 100% 准确的解决方案,但您应该看看以下内容:

    http://panopticlick.eff.org/

    他们对浏览器指纹技术进行了非正式测试,并撰写了一篇论文,详细说明了结果,该结果似乎在浏览器的唯一识别方面达到了 80%-90% 的准确度。

    您可能还想通过谷歌搜索“evercookie”(由 MySpace “samy worm”名声的 Samy 编写)来了解实现难以删除的 cookie 的技术。请注意,未经用户同意单独识别用户可能存在法律问题。

    【讨论】:

    • 是的.....evercookie 解决了我的问题 80%.... 让我们等待 4 或 5 天,如果有任何更好的技术
    【解决方案2】:

    有一个 google 一次性密码和 CSRF 预防。

    【讨论】:

    • 用户需要提供一次性密码,而 CSRF 基本上保护了一次交易的完整性——我需要一个用户无需输入任何内容的解决方案,并且服务器可以知道是否两个不同的 HTTP 请求来自相同的客户端机器还是不同的?
    • “用户需要提供一次性密码”——不,他们不需要。 “而且 CSRF 保护本质上是一个事务的完整性”——不一定——事实上,当 CSRF 保护机制跨越多个事务时,它会简单得多。
    • 请告诉我这些技术是否可以解决我的问题?主要问题是用户可以清除 cookie/会话(除了我正在使用的其他回答者 e.dan 在此处建议的 evercookie。但这也是 80% 的解决方案)。请建议我应该详细了解 CSRF 保护还是一次性密码,
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2013-07-29
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多