✔ Benutzer identifizieren

[Nino14]

Heey ich beginne grad ein neues Projekt und habe bei einem Problem so meine Schwierigkeiten.

Ich möchte ein Loginsystem bauen welches doppelte accounts ausschließt. Das heißt ich müsste den PC (Router) des Benutzers eindeutig identifizieren können. Anhand der IP geht das nicht da diese sich ja regelmäßig ändert. Ich habe echt keine Idee wie ich das lösen soll habe es jedoch schon öfters auf andere seiten gesehen.

LG und danke
Nino

 

[Gumbo]

Verwende einfach einen eigenen, zufälligen Identifikator und lasse den Benutzer diesen bei jeder Anfrage mitsenden. Das Ganze nennt sich dann eine Sitzung.

 

[Flex]

Zu 100% ist dies nicht möglich.

Du könntest dir einen Hash bilden, aus so vielen Merkmalen wie du kriegen kannst.
Folgende Werte könnten dir dabei helfen:
HTTP_USER_AGENT
HTTP_ACCEPT
HTTP_ACCEPT_LANGUAGE
HTTP_ACCEPT_CHARSET

Diese sind im $_SERVER Array zu finden.

Allerdings lässt sich damit auch keine 100%ige Aussage treffen, da z. B. gerade in Interessensgemeinschaften viele den ähnlichen Aufbau haben. (viele Firefox, viele akzeptieren Deutsch und Englisch).

Auf die Endgeräte des Benutzers hast du (zum Glück, wie ich finde) keinen Zugriff.

 

[R00Ki3]

Soviel daten wie möglich sorgt dafür das er der eindeutigen Identifizierung schon relativ nah kommt.
Wichtig ist nur das zur Identifizierung nicht die IP mit einbezogen wird.
Vor allem AOL wechselt schnell mal die IP der USER....

 

[Gumbo]

Die vom Browser gesendeten Informationen allein dürfen aber nicht als Identifikationsmerkmal dienen. Sie können nur zusätzlich verwendet werden, um die Identifikation zu authentifizieren.

 

[Nino14]

heey danke schonmal für die antworten.

@Gumbo: Das ich dem script mit sessions sage das der Benutzer eigeloggt ist, ist mir schon klar. Das ist ja nicht mein erstes Loginscript. Es geht darum das sich niemand zweimal bei mir registrieren kann und dass er z.B. eine Verwarnung kriegt wenn er zwei accounts angelegt hat. Und dazu muss möchte ich wissen an welchem pc er wo sitzt und das mit der db der anderen accounts vergleichen.

Die idee mit dem Informationen Sammeln finde ich so schon nicht schlecht ich werde ma sehen was sich daraus machen lässt. Danke schonmal. Hat den sons noch jemand eine Idee wie ich das realisieren könnte.

 

[splasch]

Also um einen Multi zu erkennen gibst nur eines Information und noch mal informationen sammeln.

Ip sammeln und vergleichen ob 2 spieler mit der gleichen ip zur selben zeit eingelogt sind. Dann weiter vergleichen verwenden beide das selbe Betriebsystem und entuell auch noch den selben Browser mit der gleichen Version. Dann kanste ausgehen das 2 Acount von einen Pc aus gespielt werden.

Weiteres wenn es ein Game ist kann man typische multi aktionen bewachten wie pushen von einen Acount auf den anderen.Auffällig spiel aktionen die für den Spieler keinen wirklichen sin ergeben unsw.

Weiteres vergleichen wenn ein Multi verdacht bestäht. wenn der eine Acount auslogt das darauf gleich der andere Acount von der selben ip einlogt und so weiter.

Es gibt viele Merkmale wo nach man seine suche einschränken kann. Besteht dann ein verdacht kann man den Acount genau beowachten.

Mfg Splasch

 

[Flex]

Also um einen Multi zu erkennen gibst nur eines Information und noch mal informationen sammeln.

Ip sammeln und vergleichen ob 2 spieler mit der gleichen ip zur selben zeit eingelogt sind. Dann weiter vergleichen verwenden beide das selbe Betriebsystem und entuell auch noch den selben Browser mit der gleichen Version. Dann kanste ausgehen das 2 Acount von einen Pc aus gespielt werden.

Weiteres wenn es ein Game ist kann man typische multi aktionen bewachten wie pushen von einen Acount auf den anderen.Auffällig spiel aktionen die für den Spieler keinen wirklichen sin ergeben unsw.

Weiteres vergleichen wenn ein Multi verdacht bestäht. wenn der eine Acount auslogt das darauf gleich der andere Acount von der selben ip einlogt und so weiter.

Es gibt viele Merkmale wo nach man seine suche einschränken kann. Besteht dann ein verdacht kann man den Acount genau beowachten.

Mfg Splasch

Selbst dann, wären es zuwenig Informationen.
Zum Beispiel bei mir in der WG.
2 Benutzer, gleiche IP, 2x der gleiche Browser, 2x die gleiche Version, 2x das gleiche OS.
Wie willst du uns unterscheiden?
Die IP darf gar nicht zur möglichen Identifikation benutzt werden, da manche Provider auf gewisse Prozeduren setzen, bei denen bei jedem Request eine neue IP Adresse zugeteilt wird und all solche Späße.
Oder Studentenwohnheime, wo viele Leute hinter der gleichen IP sitzen.

 

[splasch]

Selbst dann, wären es zuwenig Informationen.
Zum Beispiel bei mir in der WG.
2 Benutzer, gleiche IP, 2x der gleiche Browser, 2x die gleiche Version, 2x das gleiche OS.
Wie willst du uns unterscheiden?

Eine 100% festellung wird nie möglich sein. Das sind alles nur verdachst momente.Üblich ist es dann wenn solche Multiverdachte rausgefilter wurden.Das man die Spieler auffordert als Beweis einen Ausweis zu übersenden.
So wird dann sicher gestellt das der Spieler auch nur 1 Acount hat.

Ansonsten were der Aufwand einfach zu groß.

Weiteres kanste auch cokie eingeschränkt dazu verwenden um zu feststellen ob am selben Pc eingelogt wird. Was dann aber immer noch nicht heißt das es ein Multi ist.

Wie du sieht kann man das durch einen Filter so weit einschränken.Das die was dann über sind man ohne weiter im Game anschreiben kann mit einer Rundmail mit der Auforderung den Ausweis zu senden.

Mfg Splasch

 

[Dr Dau]

Hallo!

Zum Beispiel bei mir in der WG.
2 Benutzer, gleiche IP, 2x der gleiche Browser, 2x die gleiche Version, 2x das gleiche OS.

Oder noch schlimmer: "Familien PC's" und I-Net Cafe's, wo ein und der selbe PC von verschiedenen Leuten genutzt wird.

Eine eindeutige Identifikation ist also selbst dann nicht möglich, wenn Du ins Netzwerk eindringst um Hardwareinformationen zu sammeln.
Abgesehen davon dass Du, nicht zuletzt durch den neuen "Hackerparagraphen", ein tierisches Problem bekommen würdest.

Auch Dinge wie eine "Ausweiskontrolle" oder die Überweisung von z.B. 1 Cent währe keine eindeutige Identifikation.
Schliesslich könnte der User einen Freund darum bitten..... oder Dir auf andere Weise diese Informationen zukommen lassen.

Mit anderen Worten: vergiss die eindeutige Identifikation.

Du könntest natürlich auch einen grossen Raum anmieten, ausreichend viele PC's aufstellen, die User einladen und z.B. alle 5 Minuten den korrekten Ablauf persönlich kontrollieren.

Gruss Dr Dau