Http-сервер может проверить, поступают ли два разных запроса с одного компьютера

Question

Есть ли способ, кроме файлов cookie / сеансов (пользователь может их очистить), который позволяет HTTP-серверу проверять, что два разных запроса относятся к одному и тому же END-POINT MACHINE . Я много гуглил, но многие из них предлагают использовать куки, в то время как другие говорят, что проверяют IP-адрес удаленного компьютера. Проблема в том, что сервер не может получить IP-адрес END POINT MACHINE, он получает IP-адрес прокси-сервера и тому подобное

PS: в моем сценарии IP-адреса всех пользователей не изменятся .. Пожалуйста, помогите мне

ОБНОВЛЕНИЕ : пользователь должен предоставить одноразовые пароли, а CSRF защищает целостность по существу одной транзакции - где мне нужно решение, в котором пользователю не нужно ничего вводить, и сервер может знать, являются ли два РАЗЛИЧНЫХ ЗАПРОСА HTTP от одного или другого клиентского компьютера ?

ОБНОВЛЕНИЕ2 : Ребята, я получил премию +300 баллов за правильное решение - Да ладно, разве нет решения? Будь это вызов ....

Answer 1

Мне неизвестно о 100% точном решении, но вы должны взглянуть на следующее:

http://panopticlick.eff.org/

Они провели неофициальный тест методов сканирования в браузере инаписал документ с подробным описанием результатов, которые, по-видимому, имеют точность порядка 80% -90% при уникальной идентификации браузеров.

Вы также можете зайти в Google "evercookie" (написанный Сэми из MySpace "samy worm"), чтобы узнать о методах реализации трудно удаляемых файлов cookie.Имейте в виду, что могут быть юридические проблемы с уникальной идентификацией пользователей без их согласия.

Answer 2

Используйте Google для одноразовых паролей и предотвращения CSRF.