Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Технический флейм » Cookie и с чем их едят. |
<<Назад Вперед>> | Страницы: 1 2 3 | Печать |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Я ни разу не спец по HTTP и сайтостроению в частности и из общего описания сookie не смог понять, почему сайты с авторизацией не могут обойтись без них? Или в принципе могут (не учитывая альтернативы cookie), но не делают потому, что все делают с cookie? |
m_emelchenkov |
Куки — это маленькая база данных ключ-значение. Могут обойтись. Если каждый раз передавать идентификатор сессии в URL’е (GET-запросе). Но это неудобно будет (запомнить юзера нельзя) и некрасиво (служебная информация в url). Раньше так делали. Куки настолько же стандартный механизм, как и всё остальное, поэтому вопроса использовать их или нет даже не ставится. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
m_emelchenkov написал: Это как бы одна из альтернатив cookie, вопрос как сделать вообще без замены. Если каждый раз передавать идентификатор сессии в URL’е (GET-запросе). m_emelchenkov написал: Насчёт запомнить это вопрос спорный, а вот насчёт неудобно можно поподробней? Я так понимаю, что если не использовать ничего аналогичного cookie, то для работы с конкретным пользователем сервер перед каждым действием (приёмом / передачей информации) должен проводить аутентификацию? Вопроса получается два: Но это неудобно будет (запомнить юзера нельзя) 1. Нельзя ли было эти сеансы аутентификации спрятать внутри HTTP и браузера которых хранит пару логин-пароль и сделать незаметным для пользователя? 2. Как это работает без cookie и прочего в случае с FTP протоколом? m_emelchenkov написал: Он бы не ставился если бы они использовались только для аутентификации, но у них очень широкий и мутный спектр действия. поэтому вопроса использовать их или нет даже не ставится. |
igor_me |
NEW! Сообщение отправлено: 1 января 2019 19:02
CodeMaster написал: ...пароль передаётся каждый раз при подключении заного, насколько я вижу... в случае с FTP протоколом |
Сейчас на форуме |
m_emelchenkov |
Есть еще digest auth, почитайте, это то, что Вы спрашиваете. FTP — совершенно иной протокол, и там сделано по-другому. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
igor_me написал: Ну, один раз подключился и работай до следующего переподключения и никаких "маленьких баз данных". пароль передаётся каждый раз при подключении заного m_emelchenkov написал: Что протокол другой это я понимамба, как сделано - х.з., но почему в HTTP не сделать так же? Такое очучение, что в разработке HTTP не предполагали, что будет нужна аутентификация. FTP — совершенно иной протокол, и там сделано по-другому. m_emelchenkov написал: Не совсем, насколько я понял. Но допустим я понял неправильно, тогда вопрос: почему это не используется вместо cookie? Есть еще digest auth, почитайте, это то, что Вы спрашиваете. |
ATauenis
Advanced Member
Откуда: Москва Всего сообщений: 2904 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 30 апр. 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 января 2019 19:59 Сообщение отредактировано: 1 января 2019 20:02
CodeMaster написал: Предполагали ещё как. Что протокол другой это я понимамба, как сделано - х.з., но почему в HTTP не сделать так же? Такое очучение, что в разработке HTTP не предполагали, что будет нужна аутентификация. https://pogugli.com/?331960 CodeMaster написал: Необходимость завязки на интерфейс браузера. Плюс, галочка "запомнить меня" там в принципе невозможна, каждый раз будет вылезать окно браузера с запросом логина-пароля. Но допустим я понял неправильно, тогда вопрос: почему это не используется вместо cookie? Тут фишка в чём. Куки позволяют очень гибко всё запоминать. HTTP-аутентификация, как и FTP очень ограничена по функциональности и удобству для пользователя (тупого, не админа с высшим образованием). Потом, у FTP используется единое соединение на всё время работы, а у HTTP делается по соединению на запрос, т.е. каждый раз надо проводить аутентификацию. Вопрос зачем это делать, если можно использовать сессии - гораздо удобнее. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 января 2019 20:12 Сообщение отредактировано: 1 января 2019 20:18
ATauenis написал: Что подразумевается под словом "завязка"? Необходимость завязки на интерфейс браузера. ATauenis написал: Ну, в современных браузерах с автологоном это вообще фоново проходит. каждый раз будет вылезать окно браузера с запросом логина-пароля. ATauenis написал: Я не против, но зачем мешать мух с котлетами? Зачем было в cookie совмещать идентификацию и индивидуализацию интерфейса и пр.? Куки позволяют очень гибко всё запоминать. В общем, как я понимаю ситуацию: 1. Клиент аутентифицировался на сервере. 2. Сервер дал клиенту инфу для его идентификации, что бы не аутентифицироваться при каждом следующем обращении. 3. Эта инфа и есть cookie. Вопросы: 1. Зачем хранить cookie дольше чем действует сеанс работы с сервером? 2. Соответственно зачем хранить cookie на диске, а не в ОЗУ? |
m_emelchenkov |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 января 2019 20:20 Сообщение отредактировано: 1 января 2019 20:22
1. В сфере вебдева работает очень много некомпетентных людей. Даже есть такое выражение: «веб-макаки». Поэтому, аутентификация будет реализована средствами того фреймворка, который использует девелопер (который «модный» в текущем полугодии). У него «из коробки» будут работать сессии, масштабирование и т.п. К тому же, от маркетолога+дизайнера придёт требование «сделать форму логина», это привычно пользователю. А настроить веб-сервер, модули аутентификации для него — часто девелоперу вообще не под силу. 2. Без представления, что за сайт, но первый ответ по делу: https://switch-case.ru/72886424. Правда, для новичка ответ понять довольно сложно. 3. Делают то, за что платят деньги. Соответственно, если в спросе условный Angular, потому что его распиарил Гугл, значит будут делать чаще на нём, а не на чём-то ином. 4. Браузерную аутентификацию можно встретить, но не на публичных сайтах. Например, в веб-мордах роутеров встречается. Или в интранетах. Поэтому, отказ от браузерной аутентификации — это комплекс причин; просто делают как удобнее. |
m_emelchenkov |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 января 2019 20:24 Сообщение отредактировано: 1 января 2019 20:25
Насчёт «зачем мешать мух с котлетами» — потому что веб сегодня это вавилонская (ну или силосная) башня всего. Фактически, это полноценная операционная система внутри браузера. Нравится кому-то это или нет, но это теперь так. Произошло это исторически, никто специально не придумывал, просто наслаивали слой за слоем, получилась своеобразная неповоротливая «капуста», которую пытаются периодически ускорить, но выходит плохо. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
m_emelchenkov написал: Вот я кагбе про это и спрашивал: Поэтому, отказ от браузерной аутентификации — это комплекс причин; просто делают как удобнее. CodeMaster написал: правильно ли я понимаю ситуацию с использованием cookie. Плюс cookie дополнительные инструмент для маркетологов, это же то же не надо сбрасывать со счетов или только привычка и удобство? Или в принципе могут (не учитывая альтернативы cookie), но не делают потому, что все делают с cookie? |
m_emelchenkov |
Ну всякие метрики да, тоже в основном через cookie работают (но не только, там десятки вариантов опознать пользователя). > 1. Клиент аутентифицировался на сервере. > 2. Сервер дал клиенту инфу для его идентификации, что бы не аутентифицироваться при каждом следующем обращении. > 3. Эта инфа и есть cookie. Да, верно. При каждом обращении скрипт на сервере читает куку пользователя (они каждый раз передаются в http-запросе) с id сессии. Кука может быть на определенный срок, может быть на время текущего сеанса браузера. Обычно ставят какой-то срок, например, 2 недели, иногда больше. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
m_emelchenkov написал: Гугл же обещал заменить браузером ОС на ПК? Правда давно, не знаю как сейчас с этим дела. Фактически, это полноценная операционная система внутри браузера. m_emelchenkov написал: Ну, я, в общем, понял суть ситуации. Спасибо всем откликнувшимся. Произошло это исторически, никто специально не придумывал |
m_emelchenkov |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 1 января 2019 20:36 Сообщение отредактировано: 1 января 2019 20:36
CodeMaster написал: Давно уже так. Chromebook, весьма популярен в США, среди учебных заведений, в частности (где было традиционное засилье Apple). Все данные хранит в «облаке». Однако, в тренде сейчас мобилки, все на них переключились, компьютеры давно уже не самый активный рынок. Гугл же обещал заменить браузером ОС на ПК? Правда давно, не знаю как сейчас с этим дела. |
ATauenis
Advanced Member
Откуда: Москва Всего сообщений: 2904 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 30 апр. 2015 |
CodeMaster написал: Всё, что касается ввода пароля будет делаться окном из браузера, а не красивой формой с ссылкой "забыли пароль", иконками соц.сетей и т.д. Также это окно всегда модальное, пока оно будет видно, нельзя переключаться в другие вкладки и вообще как либо работать с браузером. Что подразумевается под словом "завязка"? CodeMaster написал: Как минимум, каждый раз будет вылезать окно с запросом уже заполненного пароля, и придётся тыкать "Войти". Как максимум, в IE ещё будет предлагаться системное имя пользователя, которое тут вообще ни к селу, ни к городу. Ну, в современных браузерах с автологоном это вообще фоново проходит. CodeMaster написал: Куки нужны не только для идентификации и индивидуализации, ещё они используются системами Я не против, но зачем мешать мух с котлетами? Зачем было в cookie совмещать идентификацию и индивидуализацию интерфейса и пр.? |
igor_me |
NEW! Сообщение отправлено: 2 января 2019 0:56
CodeMaster написал: Таки в самом браузере можно ведь настройку удаления при выходе сделать, может не во всех, не помню. Зачем хранить cookie дольше чем действует сеанс работы с сервером? |
Сейчас на форуме |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
ATauenis написал: Понимаю, вопрос в том, почему HTTP Authentication не развивалась дальше, что бы "было красиво"? Ведь есть же HTML5 с блекджеком и шлюхами в виде интегрированного видео, а HTTP Authentication так и остался на уровне 1.1 Всё, что касается ввода пароля будет делаться окном из браузера, а не красивой формой с ссылкой "забыли пароль" ATauenis написал: Это как сделано сейчас, но это же не значит, что принципиально невозможно сделать по другому, по нормальному? Как минимум, каждый раз будет вылезать окно с запросом уже заполненного пароля, и придётся тыкать "Войти". igor_me написал: Вот сейчас когда задолбали предложения дать согласие на использование cookies начал задумываться и выяснять что к чему. Таки в самом браузере можно ведь настройку удаления при выходе сделать |
DonkeyHot
Advanced Member
Откуда: Балашиха Всего сообщений: 725 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 24 мар. 2017 |
CodeMaster учитывая уровень задаваемых вопросов категорически не рекомендую заниматься всем этим на продакшене. Очевидно, что опыта категорически не хватает. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
DonkeyHot написал: Однозначно, начни с расшифровки этого понятия: Очевидно, что опыта категорически не хватает. DonkeyHot написал: остальные слова я вроде бы знаю. на продакшене |
Igor Michailov
Advanced Member
Откуда: Екатеринбург Всего сообщений: 1132 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 авг. 2012 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 января 2019 13:43 Сообщение отредактировано: 2 января 2019 13:44
Чем TorBrowser не устраивает? Он cookies не создает. |
Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
Если Вы собираетесь применять имеющиеся (и полученные здесь) знания и опыт в процессе работы, за которую Вам работодатель платит. DonkeyHot написал:Однозначно, начни с расшифровки этого понятия: Очевидно, что опыта категорически не хватает. |
Arix
Advanced Member
Откуда: Саратов Всего сообщений: 1399 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 18 июля 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 января 2019 16:15 Сообщение отредактировано: 2 января 2019 16:17
CodeMaster написал: Вот, мне тоже интересно, зачем это делают? Все их используют, это давно обыденность. И вот, вдруг, в последние полгода чего-то всполошились. Какие-то изменения в законах о персональных данных? Вот сейчас когда задолбали предложения дать согласие на использование cookies У меня была такая история. В командировке, подключаясь в гостинице к вай-фаю, я отключил кукиши в браузере. Сеть была публичной, без пароля, я не хотел, чтоб браузер сам логинился. Вдруг, кто перехватывает трафик? Незачем передавать пароли в открытом виде. Дома у меня вай-фая ещё не было и в интернет с ноута я не выходил. Потом в следующей командировке я захожу в инет, через свой сотовый модем (вай-фай в гостинице не было), купленный с симкой в этом регионе (мы одно время постоянно туда ездили). И что тут началось! Половина сайтов меня посылает куда подальше, мол, вы робот, идите на фиг отсюда. Не было такого раньше! Хочу спросить у Яндекса, что за фигня. А он тоже меня посылает. Но он, хоть, написал: "Включите куки". Тут я и вспомнил, что в прошлый раз выключал их. Включил, все чудеса сразу закончились. Так вот, мне интересно, почему так много сайтов столь скрупулезно относятся к кукам? Может, я хочу сохранить своё инкогнито. И ведь это было в 2012-м году! А что будет сейчас? Почему данную технологию назвали "печеньем"? Какие ассоциации были у разработчика? Если бы это разработали у нас и назвали по-русски "печенье", наверное, для нас это было бы смешно и нелепо. "Мы используем печенье. Подтвердите своё согласие". А для остальных "pechenie" было бы просто набором звуков, как сейчас для нас "куки". |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Igor Michailov написал: Ну, тогда он и с большинством сайтов не работает. Чем TorBrowser не устраивает? Он cookies не создает. Arix написал: Это законодательство ЕС обязывающее брать согласие. Но согласие обычно в таком виде, что ты либо даёшь его и работаешь с сайтом, либо не даёшь и в большинстве случаем можешь идти лесом, просто сайт без кук посмотреть низзя. Какие-то изменения в законах о персональных данных? Arix написал: А сейчас если куки выключены, то большая часть сайтов даже не отображается нормально. А что будет сейчас? Кай написал: Ну, если этот ответ отражает мысль DonkeyHot, даже не знаю с чего он так решил. Если Вы собираетесь применять имеющиеся (и полученные здесь) знания и опыт в процессе работы, за которую Вам работодатель платит. |
sanders
Advanced Member
Профессионал Откуда: Санкт-Петербург Всего сообщений: 6434 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 мар. 2008 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 января 2019 18:30 Сообщение отредактировано: 2 января 2019 18:40
"Да, стая, я старик. Я точно стертый клык". Я прочитал все это и ничего не понял. Скажите мне, други, на моих примерах. Если я отключу/запрещу куки в браузере, я смогу: - зайти в почту mail.ru, введя имя и пароль? написать письмо, прочитать входящие письма? - зайти в Сбербанк онлайн? - зайти на наш сайт? Если все три ответа "да", то чего же я лишусь? Что-то в последнее время постоянно сталкиваюсь с тем, что запреты работают криво, не до конца. Добавил в телефоне СМС от МЧС в фильтр, порадовался маленькой победе, а сегодня гляжу - в верхней строке висит значок уведомления о том, что новое нежелательное сообщение было отправлено в черный список. Ну а зачем мне такой запрет, который все равно дает о себе знать? Попробовал сам. 1 и 2 - не получилось.. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 2 января 2019 18:41 Сообщение отредактировано: 2 января 2019 18:42
sanders написал: Все три ответа "нет", но кроме этого ты например на Юле лишишься того, что и просто объявы без авторизации посмотреть не сможешь. На Майле и Сбере без авторизации в принципе особо делать нечего, а Полигон смотреть можно в read only, но он будет без настроек страниц из профиля, не очень удобно, но не смертельно. Если все три ответа "да", то чего же я лишусь? |
sanders
Advanced Member
Профессионал Откуда: Санкт-Петербург Всего сообщений: 6434 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 26 мар. 2008 |
CodeMaster написал: Я и так стараюсь, где только можно, отключать зрелищные эффекты. Интернет мне нужен только для получения информации. Зрелища я и по телевизору смотреть могу. Но я уже понял, что без куки не смогу заходить в почту и в банки, хотя и ввожу имя и пароль. Жаль, имени и пароля уже не достаточно. не очень удобно, но не смертельно. Спасибо. Остальное уже не по теме. |
igor_me |
NEW! Сообщение отправлено: 2 января 2019 19:53
CodeMaster написал: Чё, в натуре? Надо бужет проверить, значит я что-то упустил... Все три ответа "нет", ЗЫ Ну с почтой тут несложно, есть почтовые проги, я ими собсссно только в 99% случаев и пользуюсь, остальное - проверю... |
Сейчас на форуме |
Arix
Advanced Member
Откуда: Саратов Всего сообщений: 1399 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 18 июля 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 3 января 2019 20:57 Сообщение отредактировано: 3 января 2019 20:58
CodeMaster написал: Но Россия же - не ЕС, почему российские сайты кинулись соблюдать чужие законы? Это законодательство ЕС обязывающее брать согласие. Но согласие обычно в таком виде, что ты либо даёшь его и работаешь с сайтом, либо не даёшь и в большинстве случаем можешь идти лесом, просто сайт без кук посмотреть низзя. А если пользователь не знает, что это такое, чего от него хотят? Если куки в браузере включены, но я не нажимаю кнопку "Согласен", почему куки не будут работать? По моему опыту, сайт смотреть можно, просто это сообщение торчит. На компьютере оно не сильно мешает, а на мобильном устройстве сильно мешает, т.к. закрывает полэкрана. А в принципе, да, это как-то неправильно, спрашивать согласия (т.е., у вас как бы есть право выбора), но не согласиться нельзя. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Arix написал: Большинство сайтов интернациональны (либо клиенты могут быть из ЕС). Но Россия же - не ЕС, почему российские сайты кинулись соблюдать чужие законы? Arix написал: Х.з. наверное незнание А если пользователь не знает, что это такое, чего от него хотят? Arix написал: Не, они работают, тут именно юридический момент интересен. Т.е. отказаться ты не можешь, но и согласия не давал, а онипродолжают работать, т.е. работает "презумпция согласия" что-ли, нах тогда спрашивать, спрашивается? Если куки в браузере включены, но я не нажимаю кнопку "Согласен", почему куки не будут работать? По моему опыту, сайт смотреть можно, просто это сообщение торчит. sanders написал: Сёня успешно зашёл на сайт the-ebook.org на phpBB там sid= в адресной строке, вместо cookie. Не знаю, чего этого так все боятся :-/ Некоторые сайты например и cookie используют, и в адресной строке при этом может быть мама не горюй (интересно, а есть ограничение на длину адресной строки?). Жаль, имени и пароля уже не достаточно. |
CodeMaster
Advanced Member
Рыцарь ордена Хламовников Откуда: Воронеж Всего сообщений: 1655 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 11 января 2019 9:32 Сообщение отредактировано: 11 января 2019 9:37
igor_me написал: Можно, но например Таки в самом браузере можно ведь настройку удаления при выходе сделать, может не во всех, не помню.https://meshok.net в случае отсутствия cookie с прошлого сеанса проводит двухфакторную авторизацию с посылкой кода на мыло, что крайне гиморрно и неотключаемо. Можно конечно добавить несколько сайтов в исключения, но таких сайтов достаточно много (например многие по IP пытаются определить местоположение и подсунуть не нужную мне локализацию), что теряется весь смысл сессионных cookies. В общем, современный интернет перегружен шлаком и это без учёта ютуба и соцсетей :-( CodeMaster написал: Что интересно, этот sid= есть только после авторизации, а дальше с сайтом и с форумом, в том числе, работаешь с обычной адресной строкой. Может при этом, конечно, хромает безопасность, но далеко не на каждом сайте нужна двухфакторная аутентификация. Сёня успешно зашёл на сайт the-ebook.org на phpBB там sid= в адресной строке, вместо cookie. |
<<Назад Вперед>> | Страницы: 1 2 3 | Печать |
Полигон-2 » Технический флейм » Cookie и с чем их едят. |
0 посетителей просмотрели эту тему за последние 15 минут |
В том числе: 0 гостей, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |