Защита от массовых регистраций

[Mazafuka]

Нужен мод который будет фиксировать регистрацию по ключу оборудования т.е. что бы с одного компьютера не для было создавать более одного аккаунта.

Возможно ли это сделать?

И сколько это будет стоить?

[FatCat]

Глупость.

Эти "ключи" до удивительности не уникальны. Такой модификацией Вы половине посетителей запретите регистрацию.

Кроме того, современные браузеры позволяют с легкостью подделывать юзерагент; таким образом, те, от кого хотите защититься, скорее всего с легкостью обойдут такую защиту.

[Ritsuka]

Полная глупость. Допустим, мы сделаем приложение, которое пользователь будет скачивать у себя, запускать, оно будет генерировать некий "ключ" и выдавать пользователю для вставки в форму регистрации. Что можно использовать для такого ключа? Серийные номера оборудования, допустим. Мы их закриптуем и выдадим пользователю. На стороне сервера раскриптуем, проверим контрольные суммы и хэши и сравним с базой существующих. Вроде самая "толковая" из возможных реализаций. Защищеннее ничего не придумаешь, разве что ключ и данные на регу отправлять прямо из самой программы по шифрованному каналу.

 

Теперь смотрим плюсы и минусы данного решения. Минусы:

- приложение на все платформы писать накладно, т.е. - 10% линуксоидов и маководов,

- приложение собирает какую-то инфу в тайне от вас и отправляет на сервер - я такое запускать у себя никогда не буду, и никому не посоветую - 20% разумных опытных пользователей ПК,

- в приложении криптование + оно лезет в железо - что ты не делай, время от времени будут срабатывать антивирусы - 30% пуганных пользователей,

 

Т.е. минимум половину аудитории при таком решении мы теряем. А что приобретаем? Наша цель - запретить регистрации с одного ПК. Как обойти данную проблему "хакеру"? Очень просто:

- попросить 10 друзей запустить софтину у себя и дать коды - самый простой и надежный вариант, от него не защитишься никак. Можно даже не друзей, а школьников с фриланса, дать каждому по $5 - и получить нужное количество кодов. Даже если привязать регу ко внешнему IP (что не так просто найти, это же не 192.168.1.1, ага), прогу как минимум можно запускать под одинаковым прокси для обеих машин, да и опять же - криптованная прога, лезущая в железо, а потом и в интернет... о-ла-ла!

- отреверсить софтину (знаю пару умельцев, что за вечер любую вашу защиту дизассемблят и расщелкают как орешки),

- украть уже зарегистрированные аккаунты (уязвимость, социальная инженерия, подкуп).

 

Можно запретить смену IP пользователям (и потерять еще огромный кусок аудитории из тех, у кого динамический IP от провайдера), но и тогда вариант - "10 друзей - 10 проксей" прекрасно будет работать.

 

Итак, нормальные пользователи будут постоянно трахаться с вашей софтиной и связанными с нею заморочками, а вот "нехорошие дяди" спокойно сидеть через разные прокси под сотнями акков и никаких проблем не испытывать... Ну и зачем все это?

 

 

Самый надежный и простой способ защиты известен очень давно и включен в дистрибутив форума. Он называется - ручная активация пользователей. Просматриваем списки ожидающих, выходим с каждым по-очереди на связь, просим сфоткать сиськи с сапом себя на фоне монитора со страницей форума, придирчиво осматриваем инфу и решаем - пускать, или нет. Самый надежный вариант. А все эти ключи - баловство. Любой ключ можно обойти без проблем.

 

Разве что.... Можете написать свой браузер для своего форума, который каждый раз при запросе страницы делает слепок оборудования и прочих данных и гоняет его на сервер)) Но, во-первых, не думаю, что у вас на форуме найдется что-то настолько интересное, что пользователи будут через такую задницу на него ходить, а во-вторых, если интересное найдется - через неделю на варезниках появится патченная версия браузера с возможностью генерить рандомные ключи :3

Изменено 5 Сентября 2010 пользователем Ritsuka

[Arhar]

а еще юзер купит новую видеокарту и прога его запилит на форуме

 

боян короче, обсуждалось уже, причем все 4 года назад

[Rusl13]

Почему же глупость, почему же не возможно ??

Я знаю что эта система уже работает и зарекомендовала себя с положительной стороны.

 

Небольшой пример: был я зарегистрирован на одном форуме, так вот решил поменять комп, старый отдал брательнику, а себе купил новый. И вот решил брат зарегиться на том же форуме, а регистрацию не даёт. И тут приходит мне письмо на емайл от админа, типа почему решили сделать двойную регистрацию, ну я конечно объяснил ситуацию. Это пример только который произошёл только со мной. Так же знаю что система блокирует тех кто уже умудрился кинуть кого нибудь и пытался зарегиться снова и теперь получил от ворот поворот и мыкаются теперь эти люди по схожим форумам в поисках новых жертв.

 

Для меня и моего форума это модуль очень нужен. И нужно чтобы, кто нибудь это написал, о цене договаримся. Ведь должен быть кто нибудь первым

 

Вот ссылка от знающих людей: http://operafan.net/forum/index.php?topic=12666.0 по поводу индефикации в сети.

Так же по индефикации можно будет прикрутить, что бы ко всему прочему она проверяла по базе емайлов, янд и веб кошелькам.

 

ЗЫ. по поводу что можно обойти всякую систему, я полностью согласен. Но эта система не для тех кто супер пупер хакер, которых единицы, а для рядовых пользователей. Ну пускай он раз кинет, заблокируем его, пускай войдёт второй раз с другого компа - тоже заблокируем, но сколько раз он будет бегать с компа на комп а ? А затем он подумает, блин а с какого теперь зайти? не покупать же новый комп что бы кинуть на 1 - 2 тыс.

[Ritsuka]

А что вы думает про виртуальные машины? Виртуалку можно каждый день создавать новую какую хочешь, с любым железом и серийниками оборудования. И сделать это сможет любой школьник - скачать и поставить VirtualBox не сильно сложная задача

 

А вообще я так, размышляю на тему. Такой мод мне не интересен, и делать его если и возьмусь, то только за серьезную цену (от 800$).

[bifidokk]

я решал это ограничением по реге с одного айпи в день и вылавливанием проксей.

[Arhar]

по поводу что можно обойти всякую систему, я полностью согласен. Но эта система не для тех кто супер пупер хакер, которых единицы, а для рядовых пользователей

вот к такому выводу 4 года назад и пришли

[Rusl13]

ну так смотрю, что не кто не собирается и не думает, писать? Ладно поищу в других местах.

[Arhar]

а че там писать, это если с 0 писать - да,неохота

а если есть готовый модуль,генерирующий уникальный короткий ид для комбинации браузера,плагинов и т.д., то писать там мало

[Rusl13]

а че там писать, это если с 0 писать - да,неохота

а если есть готовый модуль,генерирующий уникальный короткий ид для комбинации браузера,плагинов и т.д., то писать там мало

 

Модуль писать, для этого и тема, создана. !!!

Готового не видел для этого движка, а вот для для движка на vBulletin уже создан и работает во всю.

[xRay]

а вот для для движка на vBulletin уже создан и работает во всю.

Ссылку в студию на этот мод, скорее всего это все пережевывание кода (работал олько в IE и то не всегда) из Чата Димы ( http://php.spb.ru/chat/ )

 

 

Вот небольшой дайджест на тему мега-супер-банов:

http://forums.ibresource.ru/index.php?/topic/43541/

http://forums.ibresource.ru/index.php?/topic/38061/

http://forums.ibresource.ru/index.php?/topic/49696/

еще где-то ыло про получение подсетки и бану по этому показателю

Изменено 9 Сентября 2010 пользователем xRay

[Arhar]

http://forums.ibresource.ru/index.php?/topic/53354/page__p__316837__hl__%D0%B2%D0%BD%D1%83%D1%82%D1%80%D0%B5%D0%BD%D0%BD%D0%B8%D1%85__fromsearch__1#entry316837

 

Готового не видел для этого движка,

а я не видел готового модуля для отметки людей на фотографиях ДЛЯ ЭТОГО ДВИЖКА

но это не мешало мне взять в интернете ГОТОВЫЙ МОДУЛЬ С ТАКИМ ФУНКЦИОНАЛОМ, и прикрутить к ЭТОМУ ДВИЖКУ

андэрстэнд разница?

[Rusl13]

а вот для для движка на vBulletin уже создан и работает во всю.

Ссылку в студию на этот мод, скорее всего это все пережевывание кода (работал олько в IE и то не всегда) из Чата Димы ( http://php.spb.ru/chat/ )

 

 

Ссылки пока не могу дать, это находиться на форуме, с котором не так просто договариться

Но если получится, то выложу.

 

http://forums.ibresource.ru/index.php?/topic/53354/page__p__316837__hl__%D0%B2%D0%BD%D1%83%D1%82%D1%80%D0%B5%D0%BD%D0%BD%D0%B8%D1%85__fromsearch__1#entry316837

 

Готового не видел для этого движка,

а я не видел готового модуля для отметки людей на фотографиях ДЛЯ ЭТОГО ДВИЖКА

но это не мешало мне взять в интернете ГОТОВЫЙ МОДУЛЬ С ТАКИМ ФУНКЦИОНАЛОМ, и прикрутить к ЭТОМУ ДВИЖКУ

андэрстэнд разница?

 

ссылку давал выше, по поводу индефикации. По мак адрессу не надо, если только ко всему прочему прикрутить.