Был ли пользователь на сайте? , сложная идентификация пользователей

Нужно определить: был ли пользователь на сайте ранее и когда?
Можно забить эту инфу в куки, но их легко удалить.
Можно записать данные в "хранилище" браузера, их тоже легко удалить, да и вообще открыть сайт с другого браузера.
Можно привязаться к IP, но это тоже легко обходится. Зашёл с другого компа или сделал reconnect и no problem.
Какие варианты есть ещё?
Может, идентифицировать человека через ВКонтакте, Facebook, Mail.Ru, учётную запись Яндекс, Google (или что-то ещё)? И как это сделать?
p.s. "Когда" он был - можно записать через PHP в БД сайта, но сначала надо понять - он ли это?

Для начала стоит определить:
1) Нужно ли оно вообще, если обычных кук не достаточно
2) Если же всё же нужно, то использовать социалочки в качестве идентификтора - самый надёжный способ. При этом профили из разных социалочек (одного человека) можно вполне связывать по email.

Цитата Jin X @ 16.03.15, 17:44

, но их легко удалить.

Цитата Jin X @ 16.03.15, 17:44

, их тоже легко удалить, да и вообще открыть сайт с другого браузера.

Цитата Jin X @ 16.03.15, 17:44

, но это тоже легко обходится. Зашёл с другого компа или сделал reconnect и no problem.

Цитата Jin X @ 16.03.15, 17:44

Может, идентифицировать человека через ВКонтакте, Facebook, Mail.Ru, учётную запись Яндекс, Google (или что-то ещё)?

А что, нельзя создать новый аккаунт, чтоб обойти Вашу "защиту"?

Поэтому думаю ответ один,

Цитата Serafim @ 17.03.15, 08:12

1) Нужно ли оно вообще, если обычных кук не достаточно

и если то что Вы пытаетесь защитить - не военная тайна

Сообщение отредактировано: K313 - 17.03.15, 17:47

Цитата K313 @ 17.03.15, 17:44

А что, нельзя создать новый аккаунт, чтоб обойти Вашу "защиту"?

ну для этого нужно новую симку покупать, а кому оно надо?

Цитата K313 @ 17.03.15, 17:44

А что, нельзя создать новый аккаунт, чтоб обойти Вашу "защиту"?

Можно, конечно. Ломается всё (на край, всегда можно зайти от друга), но моя задача - максимально усложнить этот процесс. Если человек сменит IP, зайдёт из другого браузера и увидит, что его спалили, он, мягко говоря, удивится (я бы удивился). А потом зайдёт с другого компа и опять поймёт, что его спалили, не факт, что ему придёт в голову, что привязка идёт к соц.сетям.

Цитата Serafim @ 17.03.15, 08:12

использовать социалочки в качестве идентификтора - самый надёжный способ

Вопрос: как идентифицировать юзера из соцсетей? Узнать его e-mail/логин/просто имя.

Добавлено 17.03.15, 19:54
И второй вопрос: можно ли привязаться к компу? Т.е. чтобы чел на одном компе не мог сменой браузера (например, на абсолютно чистый) не мог скрыться от глаз моих?
Ну типа серийного номера винта/BIOS/ОС/etc...

Цитата Jin X @ 17.03.15, 19:50

Вопрос: как идентифицировать юзера из соцсетей? Узнать его e-mail/логин/просто имя.

https://vk.com/dev/sites =) Например

Добавлено 17.03.15, 20:46
Я бы мог потрудиться перепечатать как конкретно это делается - но сам понимаешь, там слишком много чего есть, долго. Так что если кратко - у любой социалочки есть OAuth апишечка, описанная на страницах документации.

Добавлено 17.03.15, 20:48

Цитата Jin X @ 17.03.15, 19:50

И второй вопрос: можно ли привязаться к компу?

нет. Максимум что можно делать - проверять наличие шрифтов в ОС, наличие плагинов (Java, Unity, Flash, PDS, etc), версия браузера и прочее, сравнивать и делать выводы он же (тот ли пользователь) или нет, т.е. получить только ту информацию, которая требуется в данной сфере.

Добавлено 17.03.15, 20:50
хотя можно в теории делать запрос на айпишник и получать MAC адрес карточки, но сам понимаешь - это не вариант

Добавлено 17.03.15, 20:58
А ещё есть параметр DNT, который говорит о том, что пользователь категорически не хочет, чтоб его отслеживали
http://en.wikipedia.org/wiki/Do_Not_Track

Сообщение отредактировано: Serafim - 17.03.15, 20:58

Цитата Serafim @ 17.03.15, 20:45

хотя можно в теории делать запрос на айпишник и получать MAC адрес карточки, но сам понимаешь - это не вариант

Почему не вариант? По-моему, самое то...

Добавлено 17.03.15, 22:18

Цитата Serafim @ 17.03.15, 20:45

А ещё есть параметр DNT, который говорит о том, что пользователь категорически не хочет, чтоб его отслеживали

И что будет, если я положу на этот параметр?

Цитата Jin X @ 17.03.15, 22:17

Почему не вариант? По-моему, самое то...

ты хочешь сказать у всех статический внешний айпи, чтоб туда стучаться?

Добавлено 18.03.15, 02:54

Цитата Jin X @ 17.03.15, 22:17

И что будет, если я положу на этот параметр?

тебя замучает совесть, как иначе-то

Цитата Serafim @ 18.03.15, 02:53

ты хочешь сказать у всех статический внешний айпи, чтоб туда стучаться?

А, я-то думал, что можно получить MAC-адрес актуальной карты.

Цитата Serafim @ 17.03.15, 20:45

хотя можно в теории делать запрос на айпишник и получать MAC адрес карточки, но сам понимаешь - это не вариант

а в теории это как?

Цитата zera @ 18.03.15, 08:46

а в теории это как?

это значит, что по интернетам могут бродить такие советы, но на практике они не воспроизводятся (точнее работает, но очень редко)

Цитата Serafim @ 18.03.15, 08:48

это значит, что по интернетам могут бродить такие советы, но на практике они не воспроизводятся (точнее работает, но очень редко)

какая-то совсем эфемерная теория-то

Цитата zera @ 18.03.15, 09:21

какая-то совсем эфемерная теория-то

обоснования?

Цитата Jin X @ 16.03.15, 17:44

Может, идентифицировать человека через ВКонтакте, Facebook, Mail.Ru, учётную запись Яндекс, Google (или что-то ещё)? И как это сделать?

без согласия - никак.
Любая соц сеть, прежде чем дать инфу о юзере, должна получить добро от пользователя. Это тоже самое что и юзер зарегается и тогда отличать его по личному аккаунту.

Цитата Jin X @ 18.03.15, 08:33

можно получить MAC-адрес актуальной карты.

Цитата Jin X @ 17.03.15, 19:50

зайдёт с другого компа и опять поймёт, что его спалили

и теория разбивается. А еще момент что с одного компа могут несколько человек сидеть, например, интернет кафе, рабочие компы. Ну и собственно у одного юзера может быть сразу куча компов: домашний, рабочий, ноут, планшет, телефон, ...

Добавлено 18.03.15, 13:39
В целом можно применить кучу танцев с бубном, но это будет только для обычных юзеров, а "хитрые" юзера все равно найдут как избежать.
Jin X, самый хороший вариант - сделать обязательную регистрацию и либо усложнить процесс регистрации (хабр) либо поднять ценность профиля.

Цитата orb @ 18.03.15, 13:37

и теория разбивается. А еще момент что с одного компа могут несколько человек сидеть, например, интернет кафе, рабочие компы. Ну и собственно у одного юзера может быть сразу куча компов: домашний, рабочий, ноут, планшет, телефон,

Во, об этом кстати как-то забылось. Очень уместное замечание.

Имхо - всё же социалочки лучший вариант для каких-либо фаст регистраций на непродолжительное время.

Цитата orb @ 18.03.15, 13:37

Любая соц сеть, прежде чем дать инфу о юзере, должна получить добро от пользователя. Это тоже самое что и юзер зарегается и тогда отличать его по личному аккаунту.

Ну как сказать? Если я могу добавить на сайт виджет, на котором отображается моё имя (или какая-то моя информация), значит я могу и выцепить id, разве нет? К тому же, я точно знаю, что есть специальные скрипты, которые могут это делать. Платные (для ВК).

Цитата orb @ 18.03.15, 13:37

Jin X, самый хороший вариант - сделать обязательную регистрацию и либо усложнить процесс регистрации (хабр) либо поднять ценность профиля.

Регистрация вообще не канает.

Цитата Serafim @ 18.03.15, 14:18

Во, об этом кстати как-то забылось. Очень уместное замечание.

Это всё понятно, я ж говорю:

Цитата Jin X @ 17.03.15, 19:50

моя задача - максимально усложнить этот процесс.

А вообще, смысл в том, чтобы давать челу пряник, если он зашёл на сайт первый раз и выполнит нужное мне действие сегодня (или сегодня-завтра).

Цитата Jin X @ 19.03.15, 00:04

А вообще, смысл в том, чтобы давать челу пряник, если он зашёл на сайт первый раз и выполнит нужное мне действие сегодня (или сегодня-завтра).

тотже вконтактик имеет систему поощрений за выполнение целевых действий, например, чем не пряник?

Добавлено 19.03.15, 00:22

Цитата Jin X @ 19.03.15, 00:04

значит я могу и выцепить id, разве нет?

Нет, в том-то и дело.

Добавлено 19.03.15, 00:23

Цитата Jin X @ 19.03.15, 00:04

К тому же, я точно знаю, что есть специальные скрипты, которые могут это делать. Платные (для ВК).

если и есть - вк довольно оперативно латает подобные дыры, так что есть максимум месяц использования свежей дырочки.

Добавлено 19.03.15, 00:25

Цитата Serafim @ 19.03.15, 00:21

Нет, в том-то и дело.

Хотя вру, в теории может прокатить, в браузерах есть запрет только открытия в айфрейме, про доступ к JS ничего не знаю. Но это не мешает разрабам ВК выполнять весь код в замыкании и скрывать выхлоп.

Добавлено 19.03.15, 00:29
а вообще - обычно за подобные действия, которые ты пытаешься провернуть - посылают куда подальше (они как минимум не в рамках правил этого ресурса)

так что я удаляюсь, оставляю всё на совесть модераторов раздела.

Добавлено 19.03.15, 00:33

Цитата Serafim @ 17.03.15, 08:12

2) Если же всё же нужно, то использовать социалочки в качестве идентификтора - самый надёжный способ. При этом профили из разных социалочек (одного человека) можно вполне связывать по email.

Ага, осталось это мыло выгрызть у социалочек

Цитата fatalist @ 20.03.15, 20:38

Ага, осталось это мыло выгрызть у социалочек

и что в этом такого сложного?
Просто нужно добавить email в скоуп прав: https://github.com/Developers-RuDev/OAuth-S...h-4-laravel.php

Цитата Jin X @ 19.03.15, 00:04

Если я могу добавить на сайт виджет, на котором отображается моё имя (или какая-то моя информация), значит я могу и выцепить id, разве нет?

это грязные методы

Это в зависимости от того, как его использовать. Если рассылать по нему спам или продавать кому-то, то да. А если просто для идентификации - был-не был, то что тут грязного-то?

Добавлено 21.03.15, 22:15

Цитата Serafim @ 20.03.15, 20:40

Просто нужно добавить email в скоуп прав

А по-русски?

Цитата Jin X @ 21.03.15, 22:14

А по-русски?

просто надо добавить ключик емемила в группу прав при получении доступа к профилю

Ну, так а чтоб получить доступ к профилю, пользователь должен его подтвердить?

Цитата Jin X @ 22.03.15, 10:16

Ну, так а чтоб получить доступ к профилю, пользователь должен его подтвердить?

Естественно

Цитата Jin X @ 21.03.15, 22:14

А если просто для идентификации - был-не был, то что тут грязного-то?

Цитата Serafim @ 19.03.15, 00:21

вк довольно оперативно латает подобные дыры, так что есть максимум месяц использования свежей дырочки.

Какой смысл делать основу своей безопасности на чужих дырах?

Цитата orb @ 22.03.15, 14:10

Какой смысл делать основу своей безопасности на чужих дырах?

три раза перечитал, но так и не понял что ты спрашиваешь

Цитата Serafim @ 22.03.15, 14:13

но так и не понял что ты спрашиваешь

Цитата Jin X @ 21.03.15, 22:14

что тут грязного-то?

ааа, ну так это и зайчикам понятно, что Jin X пытается сделать то, что не будет работать в большинстве случаев, а если и будет, то придётся переделывать каждый месяц, заодно нарушив пару правил, как ресурсов, так и законодательства, начиная с п.276 уголовного кодекса (шпионаж), заканчивая специфичными для области (ака похищение персональных данных без ведома пользователя и аналогичных)

Цитата Serafim @ 22.03.15, 15:57

что не будет работать в большинстве случаев, а если и будет, то придётся переделывать каждый месяц

Вопрос в другом на этом базируется вся система аутентификации и поиск людей. Для отслеживания вопроса отпадания дырок нужно 2 тестера. которые круглосуточно пытаются "войти не под собой"

Цитата Serafim @ 20.03.15, 20:40

и что в этом такого сложного?
Просто нужно добавить email в скоуп прав: https://github.com/Developers-RuDev/OAuth-S...h-4-laravel.php

На практике оказывается чуть сложнее чем в документации...

Цитата fatalist @ 23.03.15, 03:39

На практике оказывается чуть сложнее чем в документации...

хм. Ну хз, мне это было не сложно написать

Добавлено 23.03.15, 11:15
Ну т.е. во время реализации этого функционала, что по ссылке - я ни разу не сталкивался с проблемами. Вот

Цитата Serafim @ 23.03.15, 11:14

хм. Ну хз, мне это было не сложно написать

Пользуюсь JS SDK вконтакта и фейсбука, что бы где какие права не выставлял, мыло не отдают... решил плюнуть, походу в сдк толи апи не той версии подгружается, толи еще что...

Сообщение отредактировано: fatalist - 23.03.15, 12:29

Цитата fatalist @ 23.03.15, 12:28

Пользуюсь JS SDK вконтакта и фейсбука, что бы где какие права не выставлял, мыло не отдают...

вот именно потому, что
1) JS (клиент)
2) Наверняка не хватает прав (для получения доступа к почте требуется запрос на повышение прав, ака просьба пользователя авторизовать приложение)

Цитата Serafim @ 23.03.15, 12:56

Наверняка не хватает прав (для получения доступа к почте требуется запрос на повышение прав, ака просьба пользователя авторизовать приложение)

Это все учтено и работает... но мыло просто не приходит...

Добавлено 24.03.15, 09:59

Цитата fatalist @ 24.03.15, 09:58

но мыло просто не приходит...

То есть тупо: все данные, которые прошу приходят, а поля "мыло" в объекте нет...

Для поля мыла отдельный скоуп нужен. Это учитывается?

Цитата Serafim @ 24.03.15, 10:17

Для поля мыла отдельный скоуп нужен. Это учитывается?

Да

Странно очень...

Цитата fatalist @ 24.03.15, 09:58

Это все учтено и работает... но мыло просто не приходит...

А можно показать, как это работает? Меня id вполне устроит

Цитата Jin X @ 25.03.15, 18:14

А можно показать, как это работает? Меня id вполне устроит

В сообщении номер 6, самый первый абзац: Был ли пользователь на сайте? (сообщение #3583469) включая обоснование того, почему я не стал приводить полный пример. Так что предлагаю задавать более уточняющие вопросы или достучаться вечерком (через час, например) в скайп - так быстрее будет.