Sitter och spånar lite hur man enklast gör en check så att 1 användare inte köper medlemsskap på en site och sedan delar ut sin kontoinformation till andra så att han på så vis delar ut kontot till obehöriga.

Har någon gjort något liknande?
Hur ska man sätta kriterierna för när servern ska bestämma att nu pågår det fuffens? Lagra IP'n per user och kolla om den sklijer sig då tiden mellan olika timestamps är liten? Vad är "liten" i det här fallet?

Olika scenarior som gör det krångligt är:
* 1 person ska givetvis kunna logga in tex både från jobbet och hemmet, så vad är en "skälig" tid att mäta mellan de olika lagrade IP'n?
* Flera medlemmar som sitter på samma företag; hur särskiljer man dom?

Enda sättet att uptäcka detta är väl om surfning på 1 konto sker mer eller mindre under samma tidsspann?

..eller är det jag som är ute och cyklar??? =)

Är inte jätteinsatt, men jag hade nog gjort så som du säger att bara en användare/ip får vara inloggad(aktiverad) samtidigt. Sen skulle du kunna jämföra tidpunkt-konto-ip och banna automatiskt/manuellt användare/konto som försökt logga in samtidigt med två ip.
Det innebär att de kan missbruka tills de blir upptäckta. Skulle själv föredra att manuellt besluta om banna konton, så att inte misstags görs om en och samma person loggar in med en annan ip för att session inte tagit slut på den andra. Dock skulle man kunna göra så att man får statistik och varningar om kontomissbruk.

Det beror lite på vad medlemskapet går ut på, men en idé är att när tre olika ip-nummer loggat in på samma konto så skickas ett nytt lösenord ut till beställningsadressen. Det finns då ingen direkt mening med att sprida sina kontouppgifter men ursprungskunden kan alltid vara säker på att få komma in.

En nackdel med att banna personer som är inloggade från två ip-nummer samtidigt är att personer med modem som loggat en gång, blivit frånkopplade och loggar in igen direkt med nytt ip-nummer blir bannade.

Skulle vilja få detta till att vara ett problem där man ser en inloggning (I) från ip (B) som att vara en person (P) alltid.
färklaring:
Dvs att även om person (P) är inloggad från ip (B) och person (P) eller någon loggar in med samma inloggning (I) så blir den nya personnen inloggad och den gamla ingloggningen för person(P) med ip (B) blir frånkopplad (så att denne ej kan spara/ändra något)...
Detta är något som om man förklarar det för användarna kommer göra att de inte gärna ger iväg sin inloggning....

Dock kan man aldrig vara helt säker förutsatt att man ej använder sig av någon form av säkra signaturer, vilket även det i sin tur ger upphov till att en kedja ej är starkare än den svagaste länken (läs att även en medarbetare man litar på kan råka glöma logga ur/råka får sitt lösenord avslöjat)

Så det är bättre att försöka hitta de simultana uppkopplingarna istället för att försöka hitta skurkar genom att kolla på inloggningar som sker efter varandra?

Det blir inte så lätt iofs få jag hade tänkt göra kollen endast vid inloggningstillfället och om man tex har en sessionstid på 20 minuter och denne ex modemanvändare blir frånkopplad och måste logga in igen så ligger dennes gamla session kvar så då blir ju denna person stämplad som skurk i onödan. Hmmm, det sista jag vill är att iritera användare men jag vill inte heller bli snuvad på inkomst...

Men ja; att ha automatiska rutiner för att försöka hitta fusk men manuella för att "straffa" fuskaren låter vettigast. I det här fallet kanske bara en låsning av kontot i 24 timmar eller/och utskick av nytt password...

Jag kan ju tänka mig att släppa igenom småfuskare, ex 2 pers som delar på ett konto, men att föröska förhindra de större, exempelvis fler än 5 IP'n per dygn som har loggat in. Jag tror det täcker möjligheten att någon med dynamiskt IP loggar in hemma 1 gång på morgonen, sedan 1 gång på jobbet, sedan max 3 gånger hemma (inkluderat modempoolskrångel).

Många kör du DHCP på sin internet-lina. Logga därför inte IP-adress utan nätverksadressen istället.

nu va det länge sen jag kolla på detta men jag har för mig att tex. PHP inte kan komma åt mac-adressen...

Är inte hundra på det men har för mig att det var så när jag kolla i höstas iallafall...

MAC adressen försvinner väl efter första router/gateway ett normalt IP paket färdas genom..
Så det funkar väl om klienten sitter på samma localnet som servern, annars blir det knivigt.

Men om det handlar om inloggning på en site så kan du ju (iaf i PHP) spara det session ID som användaren blir tilldelad och kolla med detta så fort användaren försöker göra något som bara medlemmar får. På detta sätt kan bara en webbläsare vara inloggad samtidigt, de andra får logga in hela tiden och kommer ge upp. Enda nackdelen är väl om man själv surfar med flera fönster, då är frågan hur den webbläsare man använder är uppbyggd.
På detta sätt fungerar det på vår sida. Lite irriterande ibland, men för det mesta bra tycker jag.

Visst kan jag lagra sessionsid i databasen men hur avgör jag när jag ska ta bort sessionsid'et? I ASP så time'ar en session ut om clienten med sessionsid X inte gör något anrop inom en viss tid...måste jag nu mäta tid själv för att avgöra när jag ska ta bort sessionsid ur databasen? Låter lite knöligt...

Dessutom så stoppar det inte users som loggar in efter varandra, bara under en aktiv session.

Vad är det för typ av tjänst du vill skydda? Betalar användarna för att ta del av information genom att logga in alltså?

Har funderat en del över problemet och håller med tidigare inlägg om att utan personliga certifikat/biometri eller nåt annat komplicerat kan man inte hindra att flera personer använder samma konto. Det bästa du kan göra är nog att logga utförlig statistik och hålla utkik efter missbruk av tjänsten.

Japp, man betalar för att få tillgång till data på en site.

K, jag har bestämt mig iaf för att lagra på mig "suspekt" aktivitet och sedan manuellt kontakta ägaren av kontot.

Undrar hur bildbyråer gör som tar ex 50k per år i avgift mot att användaren får logga in och plocka ner bilder för eget bruk...man vill ju inte att fler företag delar på 1 abbonemang....

Man bevakar väl sin upphovsrätt på andra sätt - stämma den som använder materialet utan att ha ett kontrakt. Men det är ju omöjligt om det rör sig om material som inte är unikt och inte kan spåras.

Det gör den faktiskt inte (jag är något osäker dock. Det finns i alla fall ingen mening med att veta vem som skickade ett ethernetpaket), men nu var det hur som helst nätverksadressen jag pratade om.

Ex:
IP-adressen 212.34.116.44 tillhör C-klassnätet 212.34.116.0. Om man får IP-adressen dynamiskt tilldelat så är chansen så gott som 100%:ig att man får en IP-adress som härstammar i samma nätverk hela tiden. Problemet är att det finns många andra som har samma nätverkadress, men eftersom Sverige inte är så priviligierat av RIPE så har de flesta företag och ISP:er mest klass C-nät skulle jag tro. Dock har jag sett att Bostreams VDSL-kunder ligger på ett klass A-nät (!).

kullervo, jag betvivlade aldrig att du menade nätverksadressen. Det var inlägget om MAC adressen jag syftade på i mitt svar.
MAC adressen (som inte går att få tag på) hade dock löst problemet att identifiera en unik dator annars. Med IPv6 tror jag du kan hitta MAC adressen, men det används inte så mycket ännu.
Jag tror de flesta A nät är uppdelade nuförtiden och tror inte Bostream har mer än fragment av ett klass A-nät.

Oj, förlåt. Jag råkade citera fel inlägg. Det var gabriel som verkar tro att jag syftade på MAC-adressen. Ursäkta mig.

Men med IPv6 är det väl ganska onödigt att veta MAC-adressen när alla hosts har skarpa IP-adresser? NAT kommer ju bli ett kapitel i historieböckerna. Men det är i alla fall som du säger att problemet löser sig med IPv6. Tänk att slippa lagra cookies med session-ID på kilenterna och bara använda IP-adressen som ID....