Ik heb het ooit veranderd om mijn eigen website te testen. Ik had toen een website gemaakt die in vier talen geschreven was. Als een gebruiker de allereerste keer op de site kwam probeerde ik aan de hand van de in de browser ingestelde standaard talen de meest geschikte taal voor te schotelen.
Oké, dan gaat het bij jullie dus vooral om test-doeleinden.
Waarom ik het vraag is het volgende. Ik wil bij het starten van een sessie een simpele "fingerprint" maken van de client. Als gedurende de sessie deze fingerprint verandert, dan klopt er iets niet en vernietig ik de sessie. Dat is het idee.
Om de fingerprint te maken gebruik ik een aantal server parameters, waarvan 'HTTP_ACCEPT_LANGUAGE' volgens mij de enige is die door de gebruiker gewijzigd kan worden, namelijk door de browsertaal aan te passen. Dit zou dus inhouden dat als gedurende een sessie de gebruiker zijn taal wijzigt, de sessie vernietigd wordt (of eventueel zou ik kunnen vragen om opnieuw in te loggen).
Van de ene kant is dit vreemd, want dat betekent dat het wijzigen van de taal leidt tot het vernietigen van de sessie, terwijl het op zich een legitieme actie is. Toch verschillen de taalinstellingen vaak per browser, en daarom zou ik deze parameter wél willen gebruiken als onderdeel van de fingerprint.
Het is natuurlijk een probleem als mensen geregeld hun taal veranderen, maar zelf kan ik me dat niet voorstellen. Ik heb ooit één keer de taal ingesteld, en daarna ben ik er niet meer aangekomen. Zou dat voor de meeste gebruikers gelden?
Van alle mensen op de hele wereld? Dan denk ik inderdaad dat het percentage dat de taal (bijna) nooit aanpast boven de 95% ligt.
Maar misschien is het voor jouw doelgroep wel anders.
Houd trouwens wel rekening met dat mensen vaak meerdere devices hebben. Alle sessies op alle devices invalideren is geen goed idee, geen idee of je dit doet...
Dit soort dingen heb ik eerder gezien. Het is mogelijk om een compleet profiel van een client op te stellen en dat gebeurt dan oa op basis van lettertypes, maar ik meen dat dat via flash werkt.
Ik wil het gewoon simpel houden.
>> Houd trouwens wel rekening met dat mensen vaak meerdere devices hebben. Alle sessies op alle devices invalideren is geen goed idee, geen idee of je dit doet...
Nee, het gaat me er enkel om te detecteren of er gedurende 1 browser-sessie iets geks gebeurt. Dus stel jij logt in op mijn website als admin en op een of andere manier zou een hacker erin slagen jouw sessie te kapen, dan zie ik al gelijk dat jouw server-instellingen afwijken van de zijne. De kans dat ze exact hetzelfde zijn is namelijk heel klein. Reden voor mij om op dat moment de sessie te vernietigen. Het enige wat zou kunnen gebeuren is dat jij bent ingelogd en gedurende de sessie de browsertaal wijzigt. Het lijkt dan alsof de client is gewijzigd en de sessie zal vernietigd worden. Vandaar mijn vraag hoe vaak het zou voorkomen dat mensen net gedurende mijn sessie hun taal gaan aanpassen. Ik denk dat het vrijwel niet voorkomt... en als het wel een keer voorkomt, tja.. dan pech gehad denk ik. Volgens mij kun je dit niet ondervangen.
