| Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Cookie и с чем их едят. |
 |
Cookie и с чем их едят.
| <<Назад Вперед>> | Страницы: 1 2 3 | Печать |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Я ни разу не спец по HTTP и сайтостроению в частности и из общего описания сookie не смог понять, почему сайты с авторизацией не могут обойтись без них? Или в принципе могут (не учитывая альтернативы cookie), но не делают потому, что все делают с cookie? |
| m_emelchenkov |
Куки — это маленькая база данных ключ-значение. Могут обойтись. Если каждый раз передавать идентификатор сессии в URL’е (GET-запросе). Но это неудобно будет (запомнить юзера нельзя) и некрасиво (служебная информация в url). Раньше так делали. Куки настолько же стандартный механизм, как и всё остальное, поэтому вопроса использовать их или нет даже не ставится. |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
m_emelchenkov написал: Если каждый раз передавать идентификатор сессии в URL’е (GET-запросе).Это как бы одна из альтернатив cookie, вопрос как сделать вообще без замены. m_emelchenkov написал: Но это неудобно будет (запомнить юзера нельзя)Насчёт запомнить это вопрос спорный, а вот насчёт неудобно можно поподробней? Я так понимаю, что если не использовать ничего аналогичного cookie, то для работы с конкретным пользователем сервер перед каждым действием (приёмом / передачей информации) должен проводить аутентификацию? Вопроса получается два: 1. Нельзя ли было эти сеансы аутентификации спрятать внутри HTTP и браузера которых хранит пару логин-пароль и сделать незаметным для пользователя? 2. Как это работает без cookie и прочего в случае с FTP протоколом? m_emelchenkov написал: поэтому вопроса использовать их или нет даже не ставится.Он бы не ставился если бы они использовались только для аутентификации, но у них очень широкий и мутный спектр действия. |
| igor_me |
NEW! Сообщение отправлено: 1 января 2019 19:02
CodeMaster написал: в случае с FTP протоколом...пароль передаётся каждый раз при подключении заного, насколько я вижу... |
| Сейчас на форуме |
| m_emelchenkov |
Есть еще digest auth, почитайте, это то, что Вы спрашиваете. FTP — совершенно иной протокол, и там сделано по-другому. |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
igor_me написал: пароль передаётся каждый раз при подключении заногоНу, один раз подключился и работай до следующего переподключения и никаких "маленьких баз данных". m_emelchenkov написал: FTP — совершенно иной протокол, и там сделано по-другому.Что протокол другой это я понимамба, как сделано - х.з., но почему в HTTP не сделать так же? Такое очучение, что в разработке HTTP не предполагали, что будет нужна аутентификация. m_emelchenkov написал: Есть еще digest auth, почитайте, это то, что Вы спрашиваете.Не совсем, насколько я понял. Но допустим я понял неправильно, тогда вопрос: почему это не используется вместо cookie? |
| ATauenis
Advanced Member
Откуда: Москва Всего сообщений: 2904 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 30 апр. 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 января 2019 19:59 Сообщение отредактировано: 1 января 2019 20:02
CodeMaster написал: Что протокол другой это я понимамба, как сделано - х.з., но почему в HTTP не сделать так же? Такое очучение, что в разработке HTTP не предполагали, что будет нужна аутентификация.Предполагали ещё как. https://pogugli.com/?331960 CodeMaster написал: Но допустим я понял неправильно, тогда вопрос: почему это не используется вместо cookie?Необходимость завязки на интерфейс браузера. Плюс, галочка "запомнить меня" там в принципе невозможна, каждый раз будет вылезать окно браузера с запросом логина-пароля. Тут фишка в чём. Куки позволяют очень гибко всё запоминать. HTTP-аутентификация, как и FTP очень ограничена по функциональности и удобству для пользователя (тупого, не админа с высшим образованием). Потом, у FTP используется единое соединение на всё время работы, а у HTTP делается по соединению на запрос, т.е. каждый раз надо проводить аутентификацию. Вопрос зачем это делать, если можно использовать сессии - гораздо удобнее. |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 января 2019 20:12 Сообщение отредактировано: 1 января 2019 20:18
ATauenis написал: Необходимость завязки на интерфейс браузера.Что подразумевается под словом "завязка"? ATauenis написал: каждый раз будет вылезать окно браузера с запросом логина-пароля.Ну, в современных браузерах с автологоном это вообще фоново проходит. ATauenis написал: Куки позволяют очень гибко всё запоминать.Я не против, но зачем мешать мух с котлетами? Зачем было в cookie совмещать идентификацию и индивидуализацию интерфейса и пр.? В общем, как я понимаю ситуацию: 1. Клиент аутентифицировался на сервере. 2. Сервер дал клиенту инфу для его идентификации, что бы не аутентифицироваться при каждом следующем обращении. 3. Эта инфа и есть cookie. Вопросы: 1. Зачем хранить cookie дольше чем действует сеанс работы с сервером? 2. Соответственно зачем хранить cookie на диске, а не в ОЗУ? |
| m_emelchenkov |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 января 2019 20:20 Сообщение отредактировано: 1 января 2019 20:22
1. В сфере вебдева работает очень много некомпетентных людей. Даже есть такое выражение: «веб-макаки». Поэтому, аутентификация будет реализована средствами того фреймворка, который использует девелопер (который «модный» в текущем полугодии). У него «из коробки» будут работать сессии, масштабирование и т.п. К тому же, от маркетолога+дизайнера придёт требование «сделать форму логина», это привычно пользователю. А настроить веб-сервер, модули аутентификации для него — часто девелоперу вообще не под силу. 2. Без представления, что за сайт, но первый ответ по делу: https://switch-case.ru/72886424. Правда, для новичка ответ понять довольно сложно. 3. Делают то, за что платят деньги. Соответственно, если в спросе условный Angular, потому что его распиарил Гугл, значит будут делать чаще на нём, а не на чём-то ином. 4. Браузерную аутентификацию можно встретить, но не на публичных сайтах. Например, в веб-мордах роутеров встречается. Или в интранетах. Поэтому, отказ от браузерной аутентификации — это комплекс причин; просто делают как удобнее. |
| m_emelchenkov |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 января 2019 20:24 Сообщение отредактировано: 1 января 2019 20:25
Насчёт «зачем мешать мух с котлетами» — потому что веб сегодня это вавилонская (ну или силосная) башня всего. Фактически, это полноценная операционная система внутри браузера. Нравится кому-то это или нет, но это теперь так. Произошло это исторически, никто специально не придумывал, просто наслаивали слой за слоем, получилась своеобразная неповоротливая «капуста», которую пытаются периодически ускорить, но выходит плохо. |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
m_emelchenkov написал: Поэтому, отказ от браузерной аутентификации — это комплекс причин; просто делают как удобнее.Вот я кагбе про это и спрашивал: CodeMaster написал: Или в принципе могут (не учитывая альтернативы cookie), но не делают потому, что все делают с cookie?правильно ли я понимаю ситуацию с использованием cookie. Плюс cookie дополнительные инструмент для маркетологов, это же то же не надо сбрасывать со счетов или только привычка и удобство? |
| m_emelchenkov |
Ну всякие метрики да, тоже в основном через cookie работают (но не только, там десятки вариантов опознать пользователя). > 1. Клиент аутентифицировался на сервере. > 2. Сервер дал клиенту инфу для его идентификации, что бы не аутентифицироваться при каждом следующем обращении. > 3. Эта инфа и есть cookie. Да, верно. При каждом обращении скрипт на сервере читает куку пользователя (они каждый раз передаются в http-запросе) с id сессии. Кука может быть на определенный срок, может быть на время текущего сеанса браузера. Обычно ставят какой-то срок, например, 2 недели, иногда больше. |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
m_emelchenkov написал: Фактически, это полноценная операционная система внутри браузера.Гугл же обещал заменить браузером ОС на ПК? Правда давно, не знаю как сейчас с этим дела. m_emelchenkov написал: Произошло это исторически, никто специально не придумывалНу, я, в общем, понял суть ситуации. Спасибо всем откликнувшимся. |
| m_emelchenkov |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 января 2019 20:36 Сообщение отредактировано: 1 января 2019 20:36
CodeMaster написал: Гугл же обещал заменить браузером ОС на ПК? Правда давно, не знаю как сейчас с этим дела.Давно уже так. Chromebook, весьма популярен в США, среди учебных заведений, в частности (где было традиционное засилье Apple). Все данные хранит в «облаке». Однако, в тренде сейчас мобилки, все на них переключились, компьютеры давно уже не самый активный рынок. |
| ATauenis
Advanced Member
Откуда: Москва Всего сообщений: 2904 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 30 апр. 2015 |
CodeMaster написал: Что подразумевается под словом "завязка"?Всё, что касается ввода пароля будет делаться окном из браузера, а не красивой формой с ссылкой "забыли пароль", иконками соц.сетей и т.д. Также это окно всегда модальное, пока оно будет видно, нельзя переключаться в другие вкладки и вообще как либо работать с браузером. CodeMaster написал: Ну, в современных браузерах с автологоном это вообще фоново проходит.Как минимум, каждый раз будет вылезать окно с запросом уже заполненного пароля, и придётся тыкать "Войти". Как максимум, в IE ещё будет предлагаться системное имя пользователя, которое тут вообще ни к селу, ни к городу. CodeMaster написал: Я не против, но зачем мешать мух с котлетами? Зачем было в cookie совмещать идентификацию и индивидуализацию интерфейса и пр.?Куки нужны не только для идентификации и индивидуализации, ещё они используются системами |
| igor_me |
NEW! Сообщение отправлено: 2 января 2019 0:56
CodeMaster написал: Зачем хранить cookie дольше чем действует сеанс работы с сервером?Таки в самом браузере можно ведь настройку удаления при выходе сделать, может не во всех, не помню. |
| Сейчас на форуме |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
ATauenis написал: Всё, что касается ввода пароля будет делаться окном из браузера, а не красивой формой с ссылкой "забыли пароль"Понимаю, вопрос в том, почему HTTP Authentication не развивалась дальше, что бы "было красиво"? Ведь есть же HTML5 с блекджеком и шлюхами в виде интегрированного видео, а HTTP Authentication так и остался на уровне 1.1 ATauenis написал: Как минимум, каждый раз будет вылезать окно с запросом уже заполненного пароля, и придётся тыкать "Войти".Это как сделано сейчас, но это же не значит, что принципиально невозможно сделать по другому, по нормальному? igor_me написал: Таки в самом браузере можно ведь настройку удаления при выходе сделатьВот сейчас когда задолбали предложения дать согласие на использование cookies начал задумываться и выяснять что к чему. |
| DonkeyHot
Advanced Member
Откуда: Балашиха Всего сообщений: 725 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 24 мар. 2017 |
CodeMaster учитывая уровень задаваемых вопросов категорически не рекомендую заниматься всем этим на продакшене. Очевидно, что опыта категорически не хватает. |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
DonkeyHot написал: Очевидно, что опыта категорически не хватает.Однозначно, начни с расшифровки этого понятия: DonkeyHot написал: на продакшенеостальные слова я вроде бы знаю. |
| Igor Michailov
Advanced Member
Откуда: Екатеринбург Всего сообщений: 1132 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 авг. 2012 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 января 2019 13:43 Сообщение отредактировано: 2 января 2019 13:44
Чем TorBrowser не устраивает? Он cookies не создает. |
| Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
DonkeyHot написал:Если Вы собираетесь применять имеющиеся (и полученные здесь) знания и опыт в процессе работы, за которую Вам работодатель платит.Очевидно, что опыта категорически не хватает.Однозначно, начни с расшифровки этого понятия: |
| Arix
Advanced Member
Откуда: Саратов Всего сообщений: 1399 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 18 июля 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 января 2019 16:15 Сообщение отредактировано: 2 января 2019 16:17
CodeMaster написал: Вот сейчас когда задолбали предложения дать согласие на использование cookiesВот, мне тоже интересно, зачем это делают? Все их используют, это давно обыденность. И вот, вдруг, в последние полгода чего-то всполошились. Какие-то изменения в законах о персональных данных? У меня была такая история. В командировке, подключаясь в гостинице к вай-фаю, я отключил кукиши в браузере. Сеть была публичной, без пароля, я не хотел, чтоб браузер сам логинился. Вдруг, кто перехватывает трафик? Незачем передавать пароли в открытом виде. Дома у меня вай-фая ещё не было и в интернет с ноута я не выходил. Потом в следующей командировке я захожу в инет, через свой сотовый модем (вай-фай в гостинице не было), купленный с симкой в этом регионе (мы одно время постоянно туда ездили). И что тут началось! Половина сайтов меня посылает куда подальше, мол, вы робот, идите на фиг отсюда. Не было такого раньше! Хочу спросить у Яндекса, что за фигня. А он тоже меня посылает. Но он, хоть, написал: "Включите куки". Тут я и вспомнил, что в прошлый раз выключал их. Включил, все чудеса сразу закончились. Так вот, мне интересно, почему так много сайтов столь скрупулезно относятся к кукам? Может, я хочу сохранить своё инкогнито. И ведь это было в 2012-м году! А что будет сейчас? Почему данную технологию назвали "печеньем"? Какие ассоциации были у разработчика? Если бы это разработали у нас и назвали по-русски "печенье", наверное, для нас это было бы смешно и нелепо. "Мы используем печенье. Подтвердите своё согласие". А для остальных "pechenie" было бы просто набором звуков, как сейчас для нас "куки". |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Igor Michailov написал: Чем TorBrowser не устраивает? Он cookies не создает.Ну, тогда он и с большинством сайтов не работает. Arix написал: Какие-то изменения в законах о персональных данных?Это законодательство ЕС обязывающее брать согласие. Но согласие обычно в таком виде, что ты либо даёшь его и работаешь с сайтом, либо не даёшь и в большинстве случаем можешь идти лесом, просто сайт без кук посмотреть низзя. Arix написал: А что будет сейчас?А сейчас если куки выключены, то большая часть сайтов даже не отображается нормально. Кай написал: Если Вы собираетесь применять имеющиеся (и полученные здесь) знания и опыт в процессе работы, за которую Вам работодатель платит.Ну, если этот ответ отражает мысль DonkeyHot, даже не знаю с чего он так решил. |
| sanders
Advanced Member
Профессионал Откуда: Санкт-Петербург Всего сообщений: 6434 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 мар. 2008 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 января 2019 18:30 Сообщение отредактировано: 2 января 2019 18:40
"Да, стая, я старик. Я точно стертый клык". Я прочитал все это и ничего не понял. Скажите мне, други, на моих примерах. Если я отключу/запрещу куки в браузере, я смогу: - зайти в почту mail.ru, введя имя и пароль? написать письмо, прочитать входящие письма? - зайти в Сбербанк онлайн? - зайти на наш сайт? Если все три ответа "да", то чего же я лишусь? Что-то в последнее время постоянно сталкиваюсь с тем, что запреты работают криво, не до конца. Добавил в телефоне СМС от МЧС в фильтр, порадовался маленькой победе, а сегодня гляжу - в верхней строке висит значок уведомления о том, что новое нежелательное сообщение было отправлено в черный список. Ну а зачем мне такой запрет, который все равно дает о себе знать? Попробовал сам. 1 и 2 - не получилось.. |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 января 2019 18:41 Сообщение отредактировано: 2 января 2019 18:42
sanders написал: Если все три ответа "да", то чего же я лишусь?Все три ответа "нет", но кроме этого ты например на Юле лишишься того, что и просто объявы без авторизации посмотреть не сможешь. На Майле и Сбере без авторизации в принципе особо делать нечего, а Полигон смотреть можно в read only, но он будет без настроек страниц из профиля, не очень удобно, но не смертельно. |
| sanders
Advanced Member
Профессионал Откуда: Санкт-Петербург Всего сообщений: 6434 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 мар. 2008 |
CodeMaster написал: не очень удобно, но не смертельно.Я и так стараюсь, где только можно, отключать зрелищные эффекты. Интернет мне нужен только для получения информации. Зрелища я и по телевизору смотреть могу. Но я уже понял, что без куки не смогу заходить в почту и в банки, хотя и ввожу имя и пароль. Жаль, имени и пароля уже не достаточно. Спасибо. Остальное уже не по теме. |
| igor_me |
NEW! Сообщение отправлено: 2 января 2019 19:53
CodeMaster написал: Все три ответа "нет",Чё, в натуре? Надо бужет проверить, значит я что-то упустил... ЗЫ Ну с почтой тут несложно, есть почтовые проги, я ими собсссно только в 99% случаев и пользуюсь, остальное - проверю... |
| Сейчас на форуме |
| Arix
Advanced Member
Откуда: Саратов Всего сообщений: 1399 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 18 июля 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 3 января 2019 20:57 Сообщение отредактировано: 3 января 2019 20:58
CodeMaster написал: Это законодательство ЕС обязывающее брать согласие. Но согласие обычно в таком виде, что ты либо даёшь его и работаешь с сайтом, либо не даёшь и в большинстве случаем можешь идти лесом, просто сайт без кук посмотреть низзя.Но Россия же - не ЕС, почему российские сайты кинулись соблюдать чужие законы? А если пользователь не знает, что это такое, чего от него хотят? Если куки в браузере включены, но я не нажимаю кнопку "Согласен", почему куки не будут работать? По моему опыту, сайт смотреть можно, просто это сообщение торчит. На компьютере оно не сильно мешает, а на мобильном устройстве сильно мешает, т.к. закрывает полэкрана. А в принципе, да, это как-то неправильно, спрашивать согласия (т.е., у вас как бы есть право выбора), но не согласиться нельзя. |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Arix написал: Но Россия же - не ЕС, почему российские сайты кинулись соблюдать чужие законы?Большинство сайтов интернациональны (либо клиенты могут быть из ЕС). Arix написал: А если пользователь не знает, что это такое, чего от него хотят?Х.з. наверное незнание Arix написал: Если куки в браузере включены, но я не нажимаю кнопку "Согласен", почему куки не будут работать? По моему опыту, сайт смотреть можно, просто это сообщение торчит.Не, они работают, тут именно юридический момент интересен. Т.е. отказаться ты не можешь, но и согласия не давал, а онипродолжают работать, т.е. работает "презумпция согласия" что-ли, нах тогда спрашивать, спрашивается? sanders написал: Жаль, имени и пароля уже не достаточно.Сёня успешно зашёл на сайт the-ebook.org на phpBB там sid= в адресной строке, вместо cookie. Не знаю, чего этого так все боятся :-/ Некоторые сайты например и cookie используют, и в адресной строке при этом может быть мама не горюй (интересно, а есть ограничение на длину адресной строки?). |
| CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 11 января 2019 9:32 Сообщение отредактировано: 11 января 2019 9:37
igor_me написал: Таки в самом браузере можно ведь настройку удаления при выходе сделать, может не во всех, не помню.Можно, но например https://meshok.net в случае отсутствия cookie с прошлого сеанса проводит двухфакторную авторизацию с посылкой кода на мыло, что крайне гиморрно и неотключаемо. Можно конечно добавить несколько сайтов в исключения, но таких сайтов достаточно много (например многие по IP пытаются определить местоположение и подсунуть не нужную мне локализацию), что теряется весь смысл сессионных cookies. В общем, современный интернет перегружен шлаком и это без учёта ютуба и соцсетей :-( CodeMaster написал: Сёня успешно зашёл на сайт the-ebook.org на phpBB там sid= в адресной строке, вместо cookie.Что интересно, этот sid= есть только после авторизации, а дальше с сайтом и с форумом, в том числе, работаешь с обычной адресной строкой. Может при этом, конечно, хромает безопасность, но далеко не на каждом сайте нужна двухфакторная аутентификация. |
| <<Назад Вперед>> | Страницы: 1 2 3 | Печать |
Полигон-2 » Технический флейм » Cookie и с чем их едят. |
|
| 1 посетитель просмотрел эту тему за последние 15 минут |
| В том числе: 1 гость, 0 скрытых пользователей |
| Последние |
|
| [Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. | |
| Самые активные 5 тем |
|