Здравствуйте Курилка, Вы писали:

К>ИМХО, ВСЁ на сервере лежать не может! Те же ASP куки клиенту пихают. В ASP.NET там кажись можно ид сессии в урл пихать, а ещё 1 способ(мне не очень нравится — с простыми ссылками не работает) — пихать его в хидден-поле.
:no:

У меня вот какая мысль.
Пользователь запрашивает ISAPI расширение, оно если пользователь новый создает на него уникальный идентификатор (подойдет и GUID), дальше обращается к COM объекту (который у нас будет ответственен за сессии, идентификацию пользователей, хранение переменных), говорит, что пользователь новый. Объект заводит на него запись (можно и в памяти, можно и в БД это не так важно) и пользуясь CryptoAPI по идентификатору пользователя (того мужика, кто обратился к расширению) делает хэш. Расширение, вооружившись хэшем приписывает к линкам в своей генерируемой странице как параметр идентификатор и хэш.
Расширение, к которому обратился по линкам пользователь (ну или это может быть ASP страница — там же тоже можно с COM работать) берет ид и хэш и заставляет объект проверять это дело на соответствие. Объект проверяет, если все ОК, то работаем с пользователем, если нет, то расширение делает redirect в www.popa.ru — нефиг наш сайт ломать.
Это приблизительный сценарий, но смысл, я думаю, ясен.
Как говорит наш информатик: прежде чем писать что-либо проверь: не писал ли это кто-нибудь до тебя.
так что я ищу.
:super: