Seite 1 von 2
Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 08.01.2006, 20:42
von Hasso
Guten Abend.
Mich beschäftigt gerade folgende Frage, die ich hier stellen möchte:
Wie lässt sich ein Nutzer (bzw. deren ClientRecher) sicher wieder erkennen gegenüber einem WebServer,
ausgenommen die Hilfe von:
- Cookies
- IP-Adresse
- Browserkennung / Betreibsystemkennung
- JavaScript
- Java-Applets sowie Flash und alle ActiveX Elemente
Die Frage ist wahrscheinlich mehr theoretisch, aber das macht ja nichts.
Die Frage bezieht sich sowohl auf Modem- als auch auf DSL/Kabel Surfer, und versteht sich, auf ein Standart Linux-Webserver.
Grüsse
Hasso
Verfasst:
von
SEO Consulting bei
ABAKUS Internet Marketing Erfahrung seit 2002
- persönliche Betreuung
- individuelle Beratung
- kompetente Umsetzung
Jetzt anfragen:
0511 / 300325-0.
Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 08.01.2006, 22:57
von Panic
Inwiefern meinst du das?
Meinst du es, wenn er direkt auf einen weiteren Link deiner Seite klickt? Dann würde ich eine Session vorschlagen. Denke aber nicht, daß du das meinst.
Aber evtl. gibt es eine Möglichkeit mit einem Java-Applet. Damit kannst du diverse Globale Variablen auslesen (interne IP-Adresse, Userhome etc.). Es muss halt zumindest ein JRE installiert und aktiviert sein. Oder Action-Script aber da kenne ich mich gar nicht aus.
Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 08.01.2006, 23:04
von Hasso
Ich meinte es mehr als der Zugriff überhaupt, also der erster Zugriff auf den Webserver. SessionID ist daher etwas falsche Richtung, da der User Bsp. eine andere IP haben kann, und wie schon erwähnt an IP sollte die Erkennung nicht gebunden sein.
Gut, dass Du es erwähnst, die Java-Applets sowie Flash und alle ActiveX Elemente sind davon auch ausgenommen

, habe mein Posting nun ergänzt.
Freue mich über weitere Anregungen.
Grüsse
Hasso
Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 08.01.2006, 23:19
von Panic
Nunja, fassen wir mal zusammen. Dir bleiben also nur noch die Daten, die ein Browser übermittelt...
Das sind nicht wirklich viele.... bzw. keine, wenn ich die von dir angegebenen Werte mal herausfiltere.
Habe mal was lustiges gesehen. Ein kleines Script, daß dir gesagt hat, ob du z.b. auf google warst.... Aber das hatte sich lediglich eines kleinen Tricks beholfen. Wenn google.de bereits besucht war, dann wurde die Styledefinition visited geladen und der Text wurde sichtbar indem Stand ja du warst dort..... Du könntest höchstens soweit gehen, daß du den weiterführenden Link dann ausblendest und einen anderen einblendest wenn jemand schon hier war und es noch in seinen cache hat. Aber das ist nunja, eine eher suboptimale Lösung und kann leicht umgangen werden.
Was anderes würde mir jetzt beim besten Willen auch nicht einfallen
Verfasst: 08.01.2006, 23:47
von RW
HI,
ohne
- Cookies
- IP-Adresse
- Browserkennung / Betreibsystemkennung
- JavaScript
- Java-Applets sowie Flash und alle ActiveX Elemente
Keine mir bekannte Möglichkeit!
(evt. Trojaner

)
RW
Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 10.01.2006, 03:46
von Hasso
Ändert sich die Sachlage, wenn ich den Zugriff jetzt mittels .htaccess - Eintrages automatisch auf die verschlüsselte Verbindung lenke, lässt sich da mehr über den Nutzer erfahren?
Grüsse
Hasso
Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 10.01.2006, 08:13
von net(t)worker
also bisher hat sich eine Username/Passwort Kombination hervorragend zur eindeutigen Userwiedererkennung bestens bewährt....

Re: Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 10.01.2006, 09:22
von 800XE
net(t)worker hat geschrieben:also bisher hat sich eine Username/Passwort Kombination hervorragend zur eindeutigen Userwiedererkennung bestens bewährt....

ja, klar , ..... aber was machst du nach dem Login? dann brauchst du auch wieder ip oder cookie (oder seasion id)....
Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 10.01.2006, 11:28
von Babelfisch
Cookies, Sessions (über Cookie und URL) und HTTP-Authentifizierung sind die einzig sicheren Wege, einen Nutzer eindeutig zu verfolgen. IP, UA-Kennung, etc. sind alle sehr unsicher und nicht geeignet, einen Nutzer wiederzuerkennen.
Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 10.01.2006, 12:00
von shapeshifter
Mit Ausschluss der von Dir genannten Kriterien bleibt die in der Tat nichts.....ausser vielleicht ein speziell angepasstes Virus.......um einen User wiederzuerkennen.
Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 10.01.2006, 12:07
von twiggie
Bitte gestatte folgende Frage, wenn auch nur theoretisch
Worauf willst du hinaus?
Möchtest du jemanden wieder erkennen oder wunderst du dich, wie du selber ohne beschriebene Hilfsmittel wieder erkannt wurdest?
Twigg
Re: Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 10.01.2006, 16:15
von net(t)worker
800XE hat geschrieben:net(t)worker hat geschrieben:also bisher hat sich eine Username/Passwort Kombination hervorragend zur eindeutigen Userwiedererkennung bestens bewährt....

ja, klar , ..... aber was machst du nach dem Login? dann brauchst du auch wieder ip oder cookie (oder seasion id)....
http-auth, da kannste dann username/Passwort bei jedem Seitenaufruf abfragen... keine cookies, ip oder Sessions nötig...
Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 10.01.2006, 16:26
von shapeshifter
........und wenn er den login weitergibt ? Ist auch nicht sicher....
Re: Einen Nutzer sicher wieder erkennen, aber anders?
Verfasst: 10.01.2006, 16:34
von net(t)worker
shapeshifter hat geschrieben:........und wenn er den login weitergibt ? Ist auch nicht sicher....
so gesehen hast du keine Möglichkeit deine User eindeutig wiederzuerkennen.... nichtmal über sessionid oder cookie, kann beides gefakt werden....
also müsstest du schon biometrische Verfahren implementieren... aber ein Finger oder nen Auge kann man auch weitergeben...

Verfasst: 10.01.2006, 16:50
von Hasso
.. Username, Passwort bei jedem Seitenaufruf abfragen, oder biometrische Verfahren - klar das geht, aber das ist schon zu weit gegriffen, da hier schon weitere Handlungen von Seiten des Users nötig sind, was in der Aufgabe so nicht vorgegeben war.
@twiggie
Nun, wie heißt es so schön - "Ich will es wissen!", es gibt sicherlich schon mehr oder weniger gute Ansätze/Gedanken, die ich jedoch wiederum immer wieder in Frage stelle, darum interessiert es mich, was die anderen zu dem Thema zu sagen haben, vorausgesetzt natürlich, dass es für anderen genau so interessant ist, wie für mich. Denn auch, wenn wir es an der Ebene der "OSI-Modell" betrachten, bleibt ja die Frage offen, wie weit man gehen könnte - welche Daten ein Webserver angefragt werden könnte, oder auch nicht... , erstmal theoretisch.
Als Beispiel wäre z.B. die “Physikalische Adresse” (bspw. bei DSL Usern)
Die “Physikalische Adresse” sollte ja bspw. tatsächlich ein Teil des IP Headers bei IPv6 sein....
Grüsse
Hasso