Distinguere accesso utente

[Thinker]

Salve a tutti ragazzi, sto facendo una piattaforma che permette di gestire tutti gli accessi al proprio account ed eventualmente bloccarli in caso non fossero riconosciuti dal possessore dell'account. Una cosa un po' alla Facebook insomma, che non appena accedi da un nuovo dispositivo, ti chiede di assegnarli un nome e così via.

Ci sono fondamentalmente tre grossi problemi a cui ho pensato subito:
- Inizialmente utilizzavo i cookie univoci. Quindi per esempio il cookie "device_id" aveva assegnato un valore univoco che si collegava al nome e a tutte le informazioni del dispositivo, compresa l'autorizzazione ad accedere e così via. Ma basterebbe cambiare il contenuto del cookie per simulare l'accesso da un dispositivo diverso

- Il secondo problema dei cookie è che bisognerebbe memorizzare l'accesso ogni volta che si cambia browser dato che i cookie non sono in comune. Il che risulterebbe un po' macchinoso e comunque sconveniente

- Di distinguere i dispositivi in base all'indirizzo IP ovviamente non se ne parla, perchè se per esempio due dispositivi sono collegati alla stessa rete wifi, entrambi potranno accedere allo stesso account

Quindi, sostanzialmente cercavo un modo per identificare i vari dispositivi a prescindere dal browser e possibilmente da eventuali cookie modificabili dagli utenti.

Qualcuno sarebbe così gentile da darmi una mano?

Thinker

[Santino83_02]

sul browser da pc sei un pò fregato. Molti (chi ha detto Google?) fanno un controllo analogo prendendo come riferimento la posizione geografica da cui scrivi. Nel senso: se dici di essere Italiano e di vivere a Roma, Google si chiede perchè ti logghi da Pechino alle 3 del mattino ora italiana. Mettere un cookie non ha senso, come hai fatto notare te, e non puoi accedere nè con php nè con js ad informazioni sul computer sufficientemente univoche da poterci basare un sistema di riconoscimento device. Sul mobile sei semplificato dal fatto che difficilmente un utente avrà 20 iPhone 5 o Samsung G4, anche se, senza fare una app dedicata per iOs o Android, non credo che tu possa sapere se usa IL PROPRIO di iPhone o OGNI TANTO quello dell'amico/parente

Quindi, se hai bisogno del riconoscimento del device, devi mettere qualcosa di tuo sul device (pc/smartphone/etc), altrimenti tutto il resto potrebbe essere falsificabile o raggirabile.

A mali estremi, potresti costringere all'installazione di certificati ssl specifici creati ad hoc per ogni device: uno per il pc, uno per lo smartphone (sperando che non vadano in conflitto con quelli sul computer nel caso dell'iphone)

[Thinker]

Capisco, stavo cominciando a pensare anche io alla geolocalizzazione
Leggendo vari post in rete però ho letto che in verità non si sa di preciso come faccia per esempio Facebook a distinguere i vari dispositivi.

Da quel che ho capito memorizza anch'esso la posizione dell'utente, ma mi chiedo come riesca a distinguere per esempio due computer uno accanto a l'altro, collegati alla stessa rete, eppure in uno appare il messaggio di avviso e nell'altro no, e soprattutto come possa identificare lo stesso pc anche cambiando browser

Ad ogni modo, quale dati mi consiglieresti di salvare nel db?
Al momento sto memorizzando i classici:
- IP
- Browser
- Sistema operativo
- Dispositivo
- Eventuale nome del dispositivo

Thinker

[Santino83_02]

Non so che dirti, nel senso che ad esempio non uso facebook quindi non sapevo che "riconoscesse" i dispositivi dell'utente... Tutte le cose che hai detto sono modificabili dall'utente... ho addirittura visto che alcuni con javascript e activex usano la username dell'account windows per ovviare ai cookie.. ma anche quella è modificabile a mano dall'utente... insomma, non saprei, dipende anche da che esigenze hai te