• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Уникальность пользователя

  • Автор темы serferG
  • Дата начала
S

serferG

Здравствуйте!

Хочу создать проект с регистрацией пользователей.

Скажите какие сечас есть самые грамотные способы идентификации уникальных пользователей?

Мне нужно добиться того чтобы небыло мульти-регистраций с одного компьтера. Т.е. один аккаунт на моем сайте для пользователя с одного компьютера...

знаю что можно по IP\cookies\браузеру ... но этого не достаточно что-бы смело утверждать что пользователь уже зарегистрирован...

в идеале я хочу реализовать вроде как "двойную проверку"

1 этап - регистрация пользователя и сбор данных о его компе
2 этап - если аккаунт вызывает сомнение то - отсеивание тех которые пытаются хитрить =) по средствам прозвона на их телефон указанный при регистрации.

Вопрос в том что по cookies \ ip и браузеру будешь часто ошибаться либо в ту либо в другую сторону =)


Помогите кто что знает народ !
 
N

nws

100% уникальности пользователя ты не добешся никогда.

Самый простой способ это подтверждение регистрации через почту.

привязку к ИП лучше не делать так как он может быть динамическим или заходить с другого компа
кукисы могут удалить
через броузер это как ?
С телефонным номером это вообще не вариант

Можно еще использовать сертификат, но, как в большинстве своем, юзеры это чайники это может их отпугнуть
 
E

etc

nws +
На одном компе могут работать много пользователей, т.к. большинство ОС именно пмогопользовательские.
Затея бессмысленная.
 
S

serferG

ну есть же что-то
Я слышал что моджно mac сетевой брать если захотеть... id операционки.. можт сейчас есче что-то модное появилось =)


Если на одном компе будут работать несколько пользователей, то в моем случае я лучше пожертвую остальными =)

nws
Там при регистрации в любом случае будет - имя пользователя, пароль, @-mail. И есче внутри аккаунта пользователя он будет вводить свои личные данные, фио , адрес, город, тел, такая специфика сайта..

user-agent - я имел ввиду про брайзер


Т.е. вы предлагаете мне идентифицировать их по е-майл и личным данным соответственно, но их потделать 2 минуты!
 
N

nws

Во-первых, с помощью php ты не узнаешь mac address или id ОС, еще раз повторюсь, юзер может заходить с разных ПК или даже если он будет сидеть за 1 ПК, он может сменить сетевуху или переустановить/поменять ось.

У множества пользователей установлено больше чем 1 броузер

E-mail всегда должен быть уникальным, на который приходит письмо с уникальным ключом без активации которого регистрация будет невозвоможна. Каким образом его можно будет подделать ?
 
E

etc

serferG сказал(а):
пожертвую остальными
Нажмите, чтобы раскрыть...
А отбор - типа кто первый тот и прав? оч. логично ... в топку чудную систему.


Тупо брать "username", если такой уже есть - так и говорить чтоб меняли на другой, не хотят - в сад.
А что возмете под username - как заблагоросудится, хоть тотже емаил хоть просто выдуманые ники. Вот и вся мода.
 
S

serferG

nws сказал(а):
Во-первых, с помощью php ты не узнаешь mac address или id ОС, еще раз повторюсь, юзер может заходить с разных ПК или даже если он будет сидеть за 1 ПК, он может сменить сетевуху или переустановить/поменять ось.

У множества пользователей установлено больше чем 1 броузер

E-mail всегда должен быть уникальным, на который приходит письмо с уникальным ключом без активации которого регистрация будет невозвоможна. Каким образом его можно будет подделать ?
Нажмите, чтобы раскрыть...


про php понятно.. а с помошью чего его можно узнать ? javascript ? может есче что-то...

Либо я не правильно выразился , либо вы меня не правильно поняли:

ключ на е-майл будет естественно, потом пользователь вводит свои личные данные в аккаунте, а после этого я его проверяю на предмет повторной регистрации но под другими данными. А потом, после этой проверки, он может хоть сетевую менять хоть ось хоть с другого компа заходить - к этому я и не придираюсь.



etc сказал(а):
А отбор - типа кто первый тот и прав? оч. логично ... в топку чудную систему.


Тупо брать "username", если такой уже есть - так и говорить чтоб меняли на другой, не хотят - в сад.
А что возмете под username - как заблагоросудится, хоть тотже емаил хоть просто выдуманые ники. Вот и вся мода.
Нажмите, чтобы раскрыть...

etc, то же самое, я и не имел ввиду что я собираюсь отсейвать людей из-за того что они хотят взять уже существуюший ник =) это действительно ТУПО, самособой будет оповещение что такой ник есть и нужно взять другой =)


вообщем то , что я имею ввиду называется antifraud контроль, защита от мошенничества
 
N

nws

узнать mac-adress можно так: выполнить у него на пк shell-code и отослать на сервер но антивирус будет говорить что это троян, а у кого линукс это невозможно будет сделать

Насчет личных данных: по каким критериям они будут уникальны ? N паспорта ? Во всех странах он разный и тем более как мне кажется не захочет вводить эти данные
 
S

serferG

данные - фио, адрес, дата рождения, страна, город, телефон

пока так...

вполне достаточно по моему

если будут возникать какие-то подозрения, то клиенту можно выслать запрос о том что бы он вылал либо скан пасспорта либо прозвонить на его указанный телефон и поспрашивать про теже данные

есть идеи... ребят , что можно придумать более или менее вразумительное для идентификаци

ну про shell-code, конечно не подойдет, нужно что-то более скрытное (для пользователя)
 
V

vital

Мммм... Пишите ActiveX и заранее предупредите, что бы юзверь нажал да, когда он будет устанавливаться. Ну а потом уже можно делать проверку на стороне пользователя скрытно..
 
E

etc

"antifraud контроль" - это просто красивые слова, от мошеничества помогает только плетка, остальное от лукавого.

serferG Мне ваот интересно, как этот ваш контроль поймет что 5 разных зарегиных записи являются 1 человеком?

serferG сказал(а):
скан пасспорта
Нажмите, чтобы раскрыть...
А вот это и есть плетка.
 
S

serferG

etc, =) вот именно что и я пока не придумал как он поймет что 5 разных зарегиных записи являются 1 человеком...

Думаю что 100% в любом случае не получиться..

Я себе это представляю пока так :
нужна комбинация каких то данных о компьютере пользователя, которая могла бы мне дать оправданные сомнения о том что пользователь регается у меня первый раз ... ну скажем 50/50. Если со свеже зарегенного аккаунта я получу эти 50% сомнений, то буду его проверять по человеческому фактору т.е. плеткой =)) Если же меньше 50% то пропускаю аккаунт как уникального пользователя...


vital, про activX эт тоже получиться лишнее беспокойство со стороны пользователей...

а что я смогу собрать о компе вот так ? :
Просто загружается моя страничка + выполняются java скрипты
 
V

vital

лишнее беспокойство со стороны пользователей...
Нажмите, чтобы раскрыть...
А подругому никак. Либо надежность либо беспокойство. А одним js ничего толкового не соберешь. Тем более скрытно.
 
E

etc

Есть еще такие вещи как анонимные прокси и т.п. так вот ваши затеи с акривиксами аплетами и т.д. ничего не стоят.
 
S

serferG

Вот пример
whoer.net

Как же у него получаеться ?


не беспокойства для пользователя ни установки activeX, и антивирус не ругается
 
E

etc

serferG Как уже заметили, нифика у него не получается. Обходится в 3 секунды, даже простой домохозяйкой.
 
S

serferG

хм, ну по сути да...
тогда вопрос про мас, он же есть в заголовках html
неужели его нельзя никак оттуда забирать в базу к примеру
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ