Как запретить копирование coockie?

[kagemusha]

Как запретить копирование coockie?

Есть проблема с авторизацией.
Наш сайт раздаетнекоторым посетителям логины и пароли к внутренним ресурсам сайта. Очень хочется, чтобы пользователи не могли передавать эти пароли другим пользователям.
Как это можно осуществить с учетом того , что информацию из куки(ставящийся пользователю) да и саму куку можно скопировать?
Есть вообще разумные решения такой проблемы? Особенно, когда посетители сайта заинтересованны в распространении паролей между собой.

Спасибо.

 

[SiMM]

> Очень хочется, чтобы пользователи не могли передавать эти пароли другим пользователям.
Никак. И куки тут абсолютно не при чём.

 

[Tor]

пиши у себя в базейке соответсвие выставленной куки (SID я имею в виду) и таких параметров как
- ip
- agent
- lang

 

[AHTIXPICT]

Tor
Ага и этот пользователь сможет ходить на сайт только с определенной машины.
Это не решение

 

[Tor]

т.е. ситуация, когда пользователь на дискетке с собой куку таскает - это нормально ?

гы

 

[kagemusha]

Автор оригинала: SiMM
> Очень хочется, чтобы пользователи не могли передавать эти пароли другим пользователям.
Никак. И куки тут абсолютно не при чём.

Ну, может, я неясно выразился. Конечно, передают они не с помощью куков, а вербально-графически, а куки мы используем для дополнительно контроля. Там обычно номер последней сессии и id пользователя

 

[SiMM]

> сможет ходить на сайт только с определенной машины
Машина здесь не при чём - пользователю диалаперу придётся много раз переконнекчиваться, пока его IP не совпадёт с требуемым (и это не помешает сделать то же самое некоторому классу других пользователей). Кроме того это добавит гимора админу, который будет должен объяснять пользователям, почему на сайт получается зайти только раз из 100.

> - agent
> - lang
Вообще бессмысленно.

 

[Tor]

Вообще бессмысленно

глубокомысленно

-~{}~ 21.03.05 14:40:

передают они не с помощью куков, а вербально-графически

это не проблема програмера

 

[SiMM]

Tor, если вы не поняли вопроса (сужу об этом по фразе о дискете) - лучше не вмешивайтесь вообще.

 

[kagemusha]

Автор оригинала: Tor
пиши у себя в базейке соответсвие выставленной куки (SID я имею в виду) и таких параметров как
- ip
- agent
- lang

Нас бы вполне устраивало, что пользователь ходил бы с одной определенной машины (из дома например), т.к. это восновном библ. ресурсы для работы из дома для преподавателей.
Но дело в том, что эти параметры совпадают у слишком многих пользователей и это недостаточная для нас степень защиты.

-~{}~ 21.03.05 15:44:

Автор оригинала: Tor
пиши у себя в базейке соответсвие выставленной куки (SID я имею в виду) и таких параметров как
- ip
- agent
- lang

ну об ip конечно речи не идет

 

[Tor]

Автор оригинала: SiMM
Tor, если вы не поняли вопроса (сужу об этом по фразе о дискете) - лучше не вмешивайтесь вообще.

во-первых, "гы" в моем посте кто-то не заметил
во-вторых, автор именно копирование и имел в виду в первом посте

да и саму куку можно скопировать?

 

[SiMM]

> во-первых, "гы" в моем посте кто-то не заметил
Можно в каждом посте добавлять в конце "гы", чтобы этим оправдывать свои неуместные замечания.

> во-вторых, автор именно копирование и имел в виду в первом посте
Надо иногда и головой думать, чтобы понять, что человеку нужно. На всякий случай повторю - куки здесь не при чём.

 

[Tor]

Надо иногда и головой думать, чтобы понять, что человеку нужно

нужно правильно задавать вопрос, что бы каждый не "думал", что имел в виду автор

 

[yugene]

Автор оригинала: kagemusha
Ну, может, я неясно выразился. Конечно, передают они не с помощью куков, а вербально-графически

Ты хочешь сказать, что тебе надо установить однозначное соответствие между логином (паролем) и тем, кто его вводит? То есть чтобы по одному конкретному логину мог заходить только один конкретный человек?

 

[kagemusha]

Автор оригинала: yugene
Ты хочешь сказать, что тебе надо установить однозначное соответствие между логином (паролем) и тем, кто его вводит? То есть чтобы по одному конкретному логину мог заходить только один конкретный человек?

Ну в идеале так, но это и мне ясно, что невозможно
Но хотябы с одной и тойже машины, чтобы логинились.

 

[yugene]

Автор оригинала: kagemusha
Нас бы вполне устраивало, что пользователь ходил бы с одной определенной машины (из дома например), т.к. это восновном библ. ресурсы для работы из дома для преподавателей.

Вот это ближе к реальности. Можно написать ActiveX, который бы генерировал пароль в привязке к конкретному компьютеру. Пароль, соответственно, проверять также с помощью этого ActiveX. Да только стоит ли оно того?

 

[SiMM]

а) ActiveX может быть отключен по тем или иным соображениям.
б) сгенерированный пароль так или иначе нужно будет передавать на сервер. Что вполне можно подслушать и повторить.

 

[kagemusha]

Автор оригинала: yugene
Вот это ближе к реальности. Можно написать ActiveX, который бы генерировал пароль в привязке к конкретному компьютеру. Пароль, соответственно, проверять также с помощью этого ActiveX. Да только стоит ли оно того?

Стоит и очень дорого ну достаточно дорого, чтобы мы следили за соблюдением лицензии.
Да о ActiveX я что-то и не подумал. Мээ...
Народ у нас из под разных платформ ходит. Ну винда конечно лидирует, но...

 

[Tor]

давай определимся, что именно тебе нужно:

- именно тот человек, которому был выдан пароль? - только прийти и посмотреть на него, програмно - никак

- именно тот компьютер? - проверять все те уникальные данные которые отличают его комп от соседнего
- сюда же можно добавить любые клиентские технологии, которые помогут проверить id процессора например, или любые другие "железные" компоненты

 

[Vasya]

Стоит и очень дорого ну достаточно дорого...

Если действительно очень дорого...
1. Юзер заходит на сайт и вводит свой логин.
2. Ему на почту отсылается сессионный ключ (можно просто пароль), который действителен для авторизации, скажем, 20 минут. С одной машины, для одной сессии...
Передавать такое третьему лицу бессмысленно, а давать доступ к своему почтовому ящику уже не каждый захочет.

Можно усложнить дальше. Первый шаг меняем на:
1. Юзер отсылает со своего e-mail запрос на авторизацию.

Если e-mail привязан к платежной системе, то есть через него проходит информация о денежных потоках, то желание раздавать этот e-mail ещё более уменьшается.

В общем, смысл идеи такой -- повязать юзера какой-то конфиденциальщиной так, чтобы он сам не стремился раздавать свой доступ.