User-Identifikation ohne Cookies oder Sessions

M

mordi

Mitglied
Hiho,

habt ihr schonmal versucht, einen User zu identifizieren, der keine Cookies erlaubt?

Ich dachte mir, man müsste doch eigentlich genug Informationen sammeln können, die vom Browser gesendet werden, um wenigstens den entsprechenden Rechner eindeutig identifizieren können.
Mit HTTP_USER_AGENT habe ich angefangen, aber das ist noch zu allgemein.
Gibt es weitere Variablen, welche man auslesen könnte?

Dann könnte man aus allen Variablen einen individuellen Schlüssel erstellen...
An die Mac-Addresse wird man ja wohl kaum rankommen, obwohl's praktisch wäre ;)

Achja, ich habe bereits einige Topics mit der SuFu gefunden, allerdings wurden diese kaum beantwortet... :)


mfg,
Daniel
 
Eindeutig identifizieren kannst du ihn nur, wenn er sich mit seinen Benutzerdaten einloggt.
Aufrechterhalten dieser Info...das geht nur mit Sessions....und diese funktionieren auch ohne Cookies(per Weitergabe der Session-ID über die URL), auch wenn das weniger empfehlenswert ist
 
Hm ja, mit Sessions und Cookies kenne ich mich auch aus.
Mir geht es halt um einen Weg ohne die beiden.

Eigentlich ist meine Frage: was kann ich herausfinden und reicht es, um eine individuelle Identifizierung möglich zu machen?

Also Browser, System, die entsprechenden Versionen, installierte Sprachen, Internetanbieter usw.
 
Mmmh... was meinst du, wieviele Telekom-Kunden bspw.einen IE6 auf WindowsXPSP2 benutzen....

Du kannst einen User nicht identifizieren, wenn er sich nicht zu erkennen gibt=> sprich:einloggt

ich hoffe, das reicht als Antwort :-)
 
Du koenntest mithilfe einer Datenbank und einiger Daten eine Art Session emulieren. ;)

Die folgene Beschreibung duerfte, aus offensichtlichen Gruenden, Probleme mit Proxy-Servern haben.
In der Tabelle wird die IP und meinetwegen auch der User-Agent gespeichert.
Zusaetzlich noch die Zeit zu welcher der Eintrag vorgenommen wurde und natuerlich wird ein Feld fuer die UserID benoetigt.
Wird die Verbindung aufgebaut wird gecheckt ob es zu dieser IP/User-Agent-Kombination schon einen Eintrag in der DB gibt. Ist dieser nicht aelter aelter als z.B. 5 Minuten wird dort die UserID ausgelesen und anhand dessen kann entschieden werden ob der User eingeloggt ist.
Ansonsten wird der Eintrag angelegt, mit der UserID 0, welche keinen User repraesentiert.
Was auch beim Verbindungsaufbau geschehen sollte ist das Aufraeumen der Session-Tabelle.
Alle Eintraege die aelter als 5 Minuten sollten dabei geloescht werden.
Damit man auch laenger als 5 Minuten eingeloggt sein kann muss die Session verlaengert werden koennen. Dies geschieht bei jedem erneuten Seitenaufruf. Denn wenn der Eintrag schon vorhanden ist, und wie gesagt max. 5 Minuten alt, wird auch die Zeit neu gesetzt, sodass die 5 Minuten von vorn anfangen.
 
danke für antworten, aber das wusste ich auch schon.
ich dachte mir schon, dass man mir hier nicht helfen kann. also werde ich es weiter allein versuchen. ein 'es ist nicht möglich' akzeptiere ich nicht ^^
 
Hallo!

Hmm, Du scheinst nicht zu verstehen.
User A: Windows XP mit IE6, ISP T-Online
User B: Windows XP mit IE6, ISP T-Online

User A "wählt" sich ein und bekommt die IP 123.123.123.123 (frei erfundene IP von T-Online).
Nun besucht er deine Seite, dabei wird der USER_AGENT (MSIE 6, Windows NT 5.1) und die REMOTE_ADDR (123.123.123.123) an den Server gesendet.

Er guckt sich ein wenig auf deiner Seite um und trennt anschliessend die Verbindung.
Gleichzeitig wird die IP sofort (je nach ISP) für den nächsten wieder freigegeben.

Zufälligerweise wählt sich in dem Augenblick User B ein und bekommt die so eben frei gewordene IP 123.123.123.123.

Nun besucht aber auch User B deine Seite..... und was passiert?
Richtig, an den Server wird der USER_AGENT (MSIE 6, Windows NT 5.1) und die REMOTE_ADDR (123.123.123.123) gesendet.

Hmm, wie könnte man jetzt wohl User A und User B von einander unterscheiden?!

Nun könntest Du natürlich auch sagen dass Du den REMOTE_PORT mitlogst.....
Aber..... dieser REMOTE_PORT wechselt alle ca. 20 Sekunden..... ist also auch nicht zu gebrauchen.

Somit dürfte also auch reptiler sein Vorschlag hinfällig sein. ;)

Auch ein login ist auch nur bedingt zur Identifizierung zu gebrauchen.... denn woher soll die Datenbank wissen dass ich auch wirklich ich bin?
Es könnte ja genauso gut mein Nachbar sein, dem ich (aus welchen Gründen auch immer) meine Zugangsdaten genannt habe. :-)

Ein "es ist nicht möglich" brauchst Du ja auch nicht zu akzeptieren..... aber Du willst dich doch sicherlich nicht strafbar machen, oder? :eek:

In dem Sinne, viel Glück beim weitersuchen. :p

Gruss Dr Dau
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück