1. casa
  2. Domanda e risposta
  3. come impedire agli utenti di creare più account sul servizio gratuito limitato al giorno

come impedire agli utenti di creare più account sul servizio gratuito limitato al giorno

2009-12-26 3 views
5

L'idea è che abbiamo un sito web per i download gratuiticome impedire agli utenti di creare più account sul servizio gratuito limitato al giorno

ma non ci sarà limite giornaliero di download al giorno per ogni utente (diciamo 5 dl al giorno per utente) quindi ci saranno utenti con più account.

  1. Il rilevamento IP non è corretto; perché ho molti utenti da un ip (utenti di un'organizzazione)
  2. e-mail di verifica e account di posta elettronica unico non è buono; puoi creare più di un account
  3. conferma sms non è buona; gli utenti possono utilizzare il suo numero/il suo telefono amico cellulare per registrare un altro conto

ho visto un sito web che ha risolto questo problema (parzialmente) www.gameknot.com

Rilevano gli utenti per nome o l'indirizzo MAC o qualcos'altro Sono non sono sicuro, Ho registrato 3 utenti lì, mi hanno rilevato, ha dichiarato: "questi tre utenti stanno utilizzando lo stesso computer" !! e ha bandito tutti e tre i conti.

Quando ho reinstallato un altro Windows, il problema è stato risolto, ho un utente lì.

Quindi mi sono chiesto "come hanno fatto questo"?

C'è qualche suggerimento su come posso gestire questo problema?

fonte

2009-12-26 Alireza

+0

Potresti essere interessato a [questa domanda] (http://stackoverflow.com/q/3216495/562769) –

risposta

0

Probabilmente utilizzavano cookie o IP per tracciare, entrambi facili da sconfiggere. Come per tutti i problemi di sicurezza, è una questione di disponibilità e sicurezza.

Se è davvero, davvero importante, si potrebbe voler utilizzare la verifica sms. Probabilmente è sicuro come quello che otterrà ... Ma questa è una cosa piuttosto banale da risolvere, specialmente con utenti di non-. Vorrei solo andare con la registrazione IP (in modo da poter fare una ricerca periodicamente per vedere eventuali modelli strani) e biscotti.

fonte

2009-12-26 20:56:02

+1

cara jonatan, Come ho già detto, ho 50 utenti con un solo IP, quindi? dimentica la cosa IP. – Alireza

+0

Sì. Non era pensato per essere un sistema di sicurezza adeguato basato su IP, semplicemente un modo per controllare i bot e cosa no. Se si sospetta un'attività bot, i registri IP potrebbero rivelarsi utili per decidere se vietarlo o meno. –

1

Se si trattasse dell'indirizzo MAC, reinstallare Windows non cambierebbe le cose: si tratta di un indirizzo hardware.

Forse stavano impostando un cookie dal tuo computer? Il rovescio della medaglia è che un utente che cancella i propri cookie otterrà un accesso aperto.

Anche collegarlo a una singola macchina presenta degli svantaggi: cosa succede se si tratta di una macchina condivisa (in una casa o anche in un internet cafè).

Probabilmente non esiste una soluzione ideale perché ci sono casi in cui qualcuno fa legittimamente qualcosa che sembra losco e schivo chi può sembrare legittimo.

fonte

2009-12-26 20:56:06 mopoke

+0

caro mopoke, la cosa dei cookie non funziona, perché gli utenti possono eliminarli. grazie comunque – Alireza

3

Se avessi implementare un tale sistema, di avere un solo profilo di accesso per utente o qualcosa di simile che avrei fatto qualcosa di simile:

1: creare un ID della macchina, basata su IP, magari usando JavaScript/Java Applet/Flash è possibile ottenere MAC o non so quali cose in considerazione. Per semplicità diciamo computo l'ID host in questo modo:

ID = MD5(PUBLIC_IP) + MD5(LOCAL_IP) + MD5(MAC)

2: log Utente1 e facciamo finta che Computerizzata ID host = 666.Guardiamo una tabella nel DB diciamo table_hosts che containt questi dati (utente, HOST_ID)

3: User1 usato tutti i 5 download (tenere traccia di loro utilizzando sessione o di record dal database)

4: User1 provare per effettuare il login come Utente2 e ora calcoliamo l'ID = 666, lo stesso ID = 666, cerchiamo i table_hosts e scopriamo che lo stesso ID host è stato utilizzato anche da User1. Ora possiamo mettere al bando i conti con quell'ID, dare avvertimenti come il 20% fino al ban ecc.

Spero di poterti aiutare, ma ricorda di essere creativo, è tutto ciò che importa!

LE: Perché gli altri mettono in discussione le macchine condivise l'ID può essere calcolato in questo modo:

ID = MD5(PUBLIC_IP) + MD5(LOCAL_IP) + MD5(MAC) + MD5(NameOfLoggedOnUser)

Ma questo disponga di svantaggio troppo, l'aggressore può creare 2 o più account sul suo macchina. In ogni caso, ripeto, sono creativo e sì, non dovremmo dimenticare che qualsiasi blocco può essere selezionato.

fonte

2009-12-26 21:04:35

+0

grazie, sembra fantastico! quindi, qual è la differenza tra PUBLIC_IP e LOCAL_IP? Stavo cercando su Google e non sono riuscito a trovare alcun codice per rilevare il MAC degli utenti, conosci un codice per questo? – Alireza

+0

Con PUBLIC_IP intendo l'IP che vedi quando vai su http://whatismyip.com Con LOCAL_IP l'IP che appartiene a una macchina dietro un router, qualcosa come 192.168.xx, 10.0.xx ecc. Su Windows puoi vedere qual è l'IP locale utilizzando: ipconfig in cmd Informazioni su come ottenere il MAC, supponendo che si esegua il lavoro di protezione con un'applet Java, consultare questo codice Java http://www.kodejava.org/examples/250 .html potrebbe aiutarti. –

0

Bene, StackOverflow sembra utilizzare Open ID per risolvere questo problema, se non eliminarlo.

fonte

2009-12-26 21:13:59 bmargulies

+0

L'ID aperto impedisce a due persone di utilizzare lo stesso ID. Non è pensato per, e non aiuta in alcun modo, per impedire alle persone di creare più ID. Open ID risolve un problema diverso, non correlato, che è quello di prevenire il "furto d'identità" e consentire l'identificazione "senza password". Alcuni provider Open ID potrebbero verificarlo, ma penso che questo non sia un requisito. –

0

Eseguo un sito gratuito in cui le persone registrano gli account e ho avuto alcuni problemi simili che si sono verificati. Ho richiesto la verifica della posta elettronica e ho registrato gli IP, ma le persone troveranno sempre un modo per giocare al sistema. L'unica soluzione è davvero monitorare il tuo sito frequentemente per assicurarti che non succeda nulla di anormale. Avevo un caso in cui tre account verificati si collegavano dallo stesso IP pochi minuti dopo l'altro e tutti eseguivano esattamente la stessa azione. Ho scritto a uno degli utenti che si è lamentato "Oh no, sono solo io, non so di cosa tu stia parlando". Alla fine ho sospeso l'account di quell'utente e tutti e tre i conti contemporaneamente diventati inattivi.

Avevo anche un altro caso in cui qualcuno stava creando account di posta elettronica falsi, ma lo faceva praticamente nello stesso modo utilizzando la stessa password ogni volta e un indirizzo email simile. Stava causando problemi al sito, quindi ho bandito tutti i suoi account e alla fine si è fermato.

Basta monitorare e cercare i modelli. Oltre ad essere davvero difficile, è praticamente tutto quello che puoi fare.

Buona fortuna!

fonte

2009-12-26 21:24:58 Jason

+0

idia buona, stesse password, .... questo è buono, ma ha bisogno di un sacco di sforzo, specialmente quando nomber di utenti è un numero enorme come 1'000'000 !!! – Alireza

1

La domanda principale è trovare l'equilibrio tra controllo e disturbo. Un maggiore controllo per te darà più fastidio ai tuoi utenti?

Ricordare che l'utente può avere un download non riuscito per molte ragioni. Consenti di riprendere il download o di riavviarlo senza punire l'utente?

Si menziona la verifica e-mail e l'account e-mail univoco come non buono. Ma non dimenticare che la creazione di un nuovo account di posta elettronica a tale scopo è una seccatura per la maggior parte degli utenti. Così sta registrando un nuovo account anche con l'e-mail esistente. Quindi sì, alcuni utenti otterranno un po 'più di quanto dovrebbero, ma avranno gravi conseguenze negative per l'azienda?

Se si desidera che paghino per download aggiuntivi, ci saranno due tipi. Coloro che apprezzano il loro tempo e odiano i fastidi. Rendilo facile per loro e pagheranno volentieri! Questi sono i tuoi clienti che ti interessano.

L'altro gruppo è chi inventerà nuovi trucchi per non pagare, indipendentemente da quanto duramente lo farai. Rileverete il loro computer? Poi andranno su internet con molti altri computer, quindi non ottieni nulla.Non c'è semplicemente nulla che tu possa fare contro quegli utenti. Ma ne vale la pena di preoccuparsi?

Quindi, in conclusione, forse cercare di rendere più facile per gli utenti che sono felici di pagare vale più di preoccuparsi di coloro che non pagheranno comunque. Ecco alcuni more discussion su come essere user-friendly.

MODIFICA.

Ho appena notato questo answer, a dimostrazione che ricevere email false è ancora più semplice di quanto pensassi. Tuttavia, quanti utenti sapranno di questo servizio?

fonte

2013-09-16 16:44:36

+0

+1 dopo quasi 4 anni di questa domanda, sono totalmente d'accordo con i tuoi punti. – Alireza

 Problemi correlati

  • Nessun problema correlato^_^