Проверка пользовательского агента в скрипте входа в PHP

Question

Мне просто интересно узнать о плюсах и минусах проверки user-agent в сценарии входа в PHP.Я нахожу в Интернете довольно много противоречивой информации, и мне интересно, стоит ли ее использовать в моем сценарии входа в систему.

Answer 1

Большинство людей скажут вам, что пользовательский агент может быть подделан и что он не обеспечит вам никакой защиты.Однако, учитывая количество людей, которые могут подделать пользовательские агенты, по сравнению с теми, которые не могут, я бы порекомендовал вам по-прежнему добавлять проверку пользовательского агента.

Остерегайтесь того, что в случае обновления своего браузера пользовательский агент может измениться.

Не полагайтесь исключительно на пользовательский агент для проверки сеанса и не жертвуйте другими мерами безопасности только для того, чтобы иметь возможность реализовать этот.Еще одно предложение - не выдавать код ошибки: «Неверный пользовательский агент».Заставьте людей, которые пытаются зайти на ваш сайт, понять это, потому что этот путь не позволит большему количеству людей даже попытаться.

В заключение: добавьте это, но не полагайтесь на то, что это единственныйфункция безопасности.

Answer 2

Вы, вероятно, знаете о подмене пользовательского агента, поэтому его не следует использовать для аутентификации пользователей. Но если вы используете его как часть истории попыток входа в систему (это список событий?), Тогда это полезная дополнительная информация.

Answer 3

Можно предположить, что для «обычных» пользователей строка user-agent остается неизменной во время сеанса.

Я бы не стал использовать его как жесткую проверку для предотвращения перехвата сессии.

Answer 4

Пользовательский агент очень легко подделать.Например, каждый раз, когда я захожу на google.com, мой Firefox отправляет ему строку агента пользователя «Google Instant сосет, а я не храню куки».(Благодаря расширению UAControl!)

Вы не можете полагаться на пользовательский агент в целях безопасности.