[Robert]

Sitter och spånar lite hur man enklast gör en check så att 1 användare inte köper medlemsskap på en site och sedan delar ut sin kontoinformation till andra så att han på så vis delar ut kontot till obehöriga.

Har någon gjort något liknande?
Hur ska man sätta kriterierna för när servern ska bestämma att nu pågår det fuffens? Lagra IP'n per user och kolla om den sklijer sig då tiden mellan olika timestamps är liten? Vad är "liten" i det här fallet?

Olika scenarior som gör det krångligt är:
* 1 person ska givetvis kunna logga in tex både från jobbet och hemmet, så vad är en "skälig" tid att mäta mellan de olika lagrade IP'n?
* Flera medlemmar som sitter på samma företag; hur särskiljer man dom?

Enda sättet att uptäcka detta är väl om surfning på 1 konto sker mer eller mindre under samma tidsspann?

..eller är det jag som är ute och cyklar??? =)

[ric]

Är inte jätteinsatt, men jag hade nog gjort så som du säger att bara en användare/ip får vara inloggad(aktiverad) samtidigt. Sen skulle du kunna jämföra tidpunkt-konto-ip och banna automatiskt/manuellt användare/konto som försökt logga in samtidigt med två ip.
Det innebär att de kan missbruka tills de blir upptäckta. Skulle själv föredra att manuellt besluta om banna konton, så att inte misstags görs om en och samma person loggar in med en annan ip för att session inte tagit slut på den andra. Dock skulle man kunna göra så att man får statistik och varningar om kontomissbruk.

[foks]

Det beror lite på vad medlemskapet går ut på, men en idé är att när tre olika ip-nummer loggat in på samma konto så skickas ett nytt lösenord ut till beställningsadressen. Det finns då ingen direkt mening med att sprida sina kontouppgifter men ursprungskunden kan alltid vara säker på att få komma in.

En nackdel med att banna personer som är inloggade från två ip-nummer samtidigt är att personer med modem som loggat en gång, blivit frånkopplade och loggar in igen direkt med nytt ip-nummer blir bannade.

[nallebjorn]

Skulle vilja få detta till att vara ett problem där man ser en inloggning (I) från ip (B) som att vara en person (P) alltid.
färklaring:
Dvs att även om person (P) är inloggad från ip (B) och person (P) eller någon loggar in med samma inloggning (I) så blir den nya personnen inloggad och den gamla ingloggningen för person(P) med ip (B) blir frånkopplad (så att denne ej kan spara/ändra något)...
Detta är något som om man förklarar det för användarna kommer göra att de inte gärna ger iväg sin inloggning....

Dock kan man aldrig vara helt säker förutsatt att man ej använder sig av någon form av säkra signaturer, vilket även det i sin tur ger upphov till att en kedja ej är starkare än den svagaste länken (läs att även en medarbetare man litar på kan råka glöma logga ur/råka får sitt lösenord avslöjat)

[Robert]

Så det är bättre att försöka hitta de simultana uppkopplingarna istället för att försöka hitta skurkar genom att kolla på inloggningar som sker efter varandra?

Det blir inte så lätt iofs få jag hade tänkt göra kollen endast vid inloggningstillfället och om man tex har en sessionstid på 20 minuter och denne ex modemanvändare blir frånkopplad och måste logga in igen så ligger dennes gamla session kvar så då blir ju denna person stämplad som skurk i onödan. Hmmm, det sista jag vill är att iritera användare men jag vill inte heller bli snuvad på inkomst...

Men ja; att ha automatiska rutiner för att försöka hitta fusk men manuella för att "straffa" fuskaren låter vettigast. I det här fallet kanske bara en låsning av kontot i 24 timmar eller/och utskick av nytt password...

Jag kan ju tänka mig att släppa igenom småfuskare, ex 2 pers som delar på ett konto, men att föröska förhindra de större, exempelvis fler än 5 IP'n per dygn som har loggat in. Jag tror det täcker möjligheten att någon med dynamiskt IP loggar in hemma 1 gång på morgonen, sedan 1 gång på jobbet, sedan max 3 gånger hemma (inkluderat modempoolskrångel).

[kullervo]

Många kör du DHCP på sin internet-lina. Logga därför inte IP-adress utan nätverksadressen istället.

[gabriel]

Citat:

Originally posted by kullervo@Apr 17 2004, 13:51
Många kör du DHCP på sin internet-lina. Logga därför inte IP-adress utan nätverksadressen istället.

nu va det länge sen jag kolla på detta men jag har för mig att tex. PHP inte kan komma åt mac-adressen...

Är inte hundra på det men har för mig att det var så när jag kolla i höstas iallafall...

[jannne]

MAC adressen försvinner väl efter första router/gateway ett normalt IP paket färdas genom..
Så det funkar väl om klienten sitter på samma localnet som servern, annars blir det knivigt.

[Anders]

Men om det handlar om inloggning på en site så kan du ju (iaf i PHP) spara det session ID som användaren blir tilldelad och kolla med detta så fort användaren försöker göra något som bara medlemmar får. På detta sätt kan bara en webbläsare vara inloggad samtidigt, de andra får logga in hela tiden och kommer ge upp. Enda nackdelen är väl om man själv surfar med flera fönster, då är frågan hur den webbläsare man använder är uppbyggd.
På detta sätt fungerar det på vår sida. Lite irriterande ibland, men för det mesta bra tycker jag.

[Robert]

Visst kan jag lagra sessionsid i databasen men hur avgör jag när jag ska ta bort sessionsid'et? I ASP så time'ar en session ut om clienten med sessionsid X inte gör något anrop inom en viss tid...måste jag nu mäta tid själv för att avgöra när jag ska ta bort sessionsid ur databasen? Låter lite knöligt...

Dessutom så stoppar det inte users som loggar in efter varandra, bara under en aktiv session.