Cookieを使用できない場合にユーザーを一意に識別するにはどうすればよいですか?
Webアプリケーション開発で、Cookieがオプションではなく、IPが動的である場合に、ユーザーを一意に識別するにはどうすればよいですか?組み合わせてからハッシュを作成してUIDとして使用できるパターンはありますか?
いくつかの解決策:
- Evercookies
- @ -DavidJ.Liszewskiコメントは panopticlick を指しています:実際には jquery.browser-fingerprint.js と呼ばれるオープンソースの実装があります
- Flashを有効にするユーザーの場合、 Flash cookie を使用してそれらを一意に識別できます。
- ブラウザキャンバスフィンガープリント
Cookieが存在する前は、 " basic access authentication "と呼ばれる認証形式がありました。この形式の認証では、要求ごとにユーザー名とパスワードが送信されます。それはまだいくつかのプリミティブなWebアプリケーションで使用されています。ただし、これはパスワードの暗号化を提供しないため、httpsを使用する必要があります。それ以外の場合、攻撃者は簡単にパスワードを知ることができます。
Cookieなしでユーザーを追跡するために収集できる情報は2つありますが、どちらも完璧ではなく、一部のIDを失い、他のユーザーを間違えます。
- ブラウザーのフィンガープリント。ブラウザーから可能な限り多くの情報を取得して、それを一意に識別します。
- IPロケーショントラッキング。IPをチェックして、割り当てられている地理的領域を見つけます。ユーザーがデータからwifiに切り替えた、またはwifiネットワーク間で切り替えたためにIPが変化した場合、IPは地理的に近接している必要があります。
検索をさらに進めるには:Cookieはドメイン固有であり、SSOはドメイン間でユーザーをリンクするため、シングルサインオンはこの問題に対処する必要があるため、CookieなしでIDを維持する必要があります。
このサイトでは、さまざまな方法で説明しています: http://www.technicalinfo.net/papers/WebBasedSessionManagement.html
私は「Cookieを使用しないセッション管理」をググり、疑問に思った場合は、回答の最初のstackoverflowリンクをクリックしました。
HTML5には、ローカルストレージやブラウザデータベースなど、クライアント側に情報を保存するための代替ソリューションがいくつかありました。
いくつかの詳細はここにあります: http://www.html5rocks.com/en/tutorials/offline/storage/