Был ли пользователь на сайте? , сложная идентификация пользователей

Цитата orb @ 18.03.15, 13:37

Любая соц сеть, прежде чем дать инфу о юзере, должна получить добро от пользователя. Это тоже самое что и юзер зарегается и тогда отличать его по личному аккаунту.

Ну как сказать? Если я могу добавить на сайт виджет, на котором отображается моё имя (или какая-то моя информация), значит я могу и выцепить id, разве нет? К тому же, я точно знаю, что есть специальные скрипты, которые могут это делать. Платные (для ВК).

Цитата orb @ 18.03.15, 13:37

Jin X, самый хороший вариант - сделать обязательную регистрацию и либо усложнить процесс регистрации (хабр) либо поднять ценность профиля.

Регистрация вообще не канает.

Цитата Serafim @ 18.03.15, 14:18

Во, об этом кстати как-то забылось. Очень уместное замечание.

Это всё понятно, я ж говорю:

Цитата Jin X @ 17.03.15, 19:50

моя задача - максимально усложнить этот процесс.

А вообще, смысл в том, чтобы давать челу пряник, если он зашёл на сайт первый раз и выполнит нужное мне действие сегодня (или сегодня-завтра).

Цитата Jin X @ 19.03.15, 00:04

А вообще, смысл в том, чтобы давать челу пряник, если он зашёл на сайт первый раз и выполнит нужное мне действие сегодня (или сегодня-завтра).

тотже вконтактик имеет систему поощрений за выполнение целевых действий, например, чем не пряник?

Добавлено 19.03.15, 00:22

Цитата Jin X @ 19.03.15, 00:04

значит я могу и выцепить id, разве нет?

Нет, в том-то и дело.

Добавлено 19.03.15, 00:23

Цитата Jin X @ 19.03.15, 00:04

К тому же, я точно знаю, что есть специальные скрипты, которые могут это делать. Платные (для ВК).

если и есть - вк довольно оперативно латает подобные дыры, так что есть максимум месяц использования свежей дырочки.

Добавлено 19.03.15, 00:25

Цитата Serafim @ 19.03.15, 00:21

Нет, в том-то и дело.

Хотя вру, в теории может прокатить, в браузерах есть запрет только открытия в айфрейме, про доступ к JS ничего не знаю. Но это не мешает разрабам ВК выполнять весь код в замыкании и скрывать выхлоп.

Добавлено 19.03.15, 00:29
а вообще - обычно за подобные действия, которые ты пытаешься провернуть - посылают куда подальше (они как минимум не в рамках правил этого ресурса)

так что я удаляюсь, оставляю всё на совесть модераторов раздела.

Добавлено 19.03.15, 00:33

Цитата Serafim @ 17.03.15, 08:12

2) Если же всё же нужно, то использовать социалочки в качестве идентификтора - самый надёжный способ. При этом профили из разных социалочек (одного человека) можно вполне связывать по email.

Ага, осталось это мыло выгрызть у социалочек

Цитата fatalist @ 20.03.15, 20:38

Ага, осталось это мыло выгрызть у социалочек

и что в этом такого сложного?
Просто нужно добавить email в скоуп прав: https://github.com/Developers-RuDev/OAuth-S...h-4-laravel.php

Цитата Jin X @ 19.03.15, 00:04

Если я могу добавить на сайт виджет, на котором отображается моё имя (или какая-то моя информация), значит я могу и выцепить id, разве нет?

это грязные методы

Это в зависимости от того, как его использовать. Если рассылать по нему спам или продавать кому-то, то да. А если просто для идентификации - был-не был, то что тут грязного-то?

Добавлено 21.03.15, 22:15

Цитата Serafim @ 20.03.15, 20:40

Просто нужно добавить email в скоуп прав

А по-русски?

Цитата Jin X @ 21.03.15, 22:14

А по-русски?

просто надо добавить ключик емемила в группу прав при получении доступа к профилю

Ну, так а чтоб получить доступ к профилю, пользователь должен его подтвердить?

Цитата Jin X @ 22.03.15, 10:16

Ну, так а чтоб получить доступ к профилю, пользователь должен его подтвердить?

Естественно

Цитата Jin X @ 21.03.15, 22:14

А если просто для идентификации - был-не был, то что тут грязного-то?

Цитата Serafim @ 19.03.15, 00:21

вк довольно оперативно латает подобные дыры, так что есть максимум месяц использования свежей дырочки.

Какой смысл делать основу своей безопасности на чужих дырах?

Цитата orb @ 22.03.15, 14:10

Какой смысл делать основу своей безопасности на чужих дырах?

три раза перечитал, но так и не понял что ты спрашиваешь

Цитата Serafim @ 22.03.15, 14:13

но так и не понял что ты спрашиваешь

Цитата Jin X @ 21.03.15, 22:14

что тут грязного-то?

ааа, ну так это и зайчикам понятно, что Jin X пытается сделать то, что не будет работать в большинстве случаев, а если и будет, то придётся переделывать каждый месяц, заодно нарушив пару правил, как ресурсов, так и законодательства, начиная с п.276 уголовного кодекса (шпионаж), заканчивая специфичными для области (ака похищение персональных данных без ведома пользователя и аналогичных)

Цитата Serafim @ 22.03.15, 15:57

что не будет работать в большинстве случаев, а если и будет, то придётся переделывать каждый месяц

Вопрос в другом на этом базируется вся система аутентификации и поиск людей. Для отслеживания вопроса отпадания дырок нужно 2 тестера. которые круглосуточно пытаются "войти не под собой"

Цитата Serafim @ 20.03.15, 20:40

и что в этом такого сложного?
Просто нужно добавить email в скоуп прав: https://github.com/Developers-RuDev/OAuth-S...h-4-laravel.php

На практике оказывается чуть сложнее чем в документации...