Schutz vor Multi Accounts
Hallo die Herrschaften,
habe da ein kleines Problem.
Um die Sachlage mal vereinfacht vorzustellen, gehen wir einfach mal davon aus, das ich nen Onlinegame habe und MultiAccountUsing unterbinden will.
Dazu habe ich mir überlegt gehabt, einen Cookie zu platzieren und immer wenn einer gestzt wird, gibts nen eintrag in die DB. Je häufiger die gesetzt werden, desto höher der Verdacht eines Multis. Verdacht daher, weil er den Cookie löschen kann und somit in einen anderen Account einloggen kann. Mit bestehendem Cookie kann er nur in einen Account rein.
Hat dazu jemand ein gutes Beispiel zur realisierung?
ATM stelle ich mir das so vor, das wenn er sich einloggt, er einen usernamen aus der DB zieht und diesen 3mal mit md5() verschlüsselt. Der gleiche Hash steht dann im Cookie drin und dann wird verglichen. md5() deswegen, damit der user net das Cookie einfach mit einem anderem Accountnamen editieren kann. ja soweit alles gut(theoretisch)
Nun aber zum eingentlichen Problem:
Was ist, wenn der User sich einen Cookie irgendwohin speichert, den aktuellen im Cookie Verzeichnis löscht und sich somit in einen anderen Account einloggen kann und nach der Nutzung diesen wieder löscht und den alten Cookie wieder reinkopiert?
Habe das mal so ansatzweise probiert und es ging, also Multis haben ne Chance.
Kann man da was intelligentes einbauen damit Dieses nicht mehr möglich ist? Chksummen etc, ka.
IP Adressenvergleich will ich nicht machen, da es zu ungenau ist zwecks Router und 5 Heim P'cs und ggf auch wegen dynamischen IPs was ja dann auch nix bringt(man kann sich ja schnell mal neu einloggen etc)
Hallo die Herrschaften,
habe da ein kleines Problem.
Um die Sachlage mal vereinfacht vorzustellen, gehen wir einfach mal davon aus, das ich nen Onlinegame habe und MultiAccountUsing unterbinden will.
Dazu habe ich mir überlegt gehabt, einen Cookie zu platzieren und immer wenn einer gestzt wird, gibts nen eintrag in die DB. Je häufiger die gesetzt werden, desto höher der Verdacht eines Multis. Verdacht daher, weil er den Cookie löschen kann und somit in einen anderen Account einloggen kann. Mit bestehendem Cookie kann er nur in einen Account rein.
Hat dazu jemand ein gutes Beispiel zur realisierung?
ATM stelle ich mir das so vor, das wenn er sich einloggt, er einen usernamen aus der DB zieht und diesen 3mal mit md5() verschlüsselt. Der gleiche Hash steht dann im Cookie drin und dann wird verglichen. md5() deswegen, damit der user net das Cookie einfach mit einem anderem Accountnamen editieren kann. ja soweit alles gut(theoretisch)
Nun aber zum eingentlichen Problem:
Was ist, wenn der User sich einen Cookie irgendwohin speichert, den aktuellen im Cookie Verzeichnis löscht und sich somit in einen anderen Account einloggen kann und nach der Nutzung diesen wieder löscht und den alten Cookie wieder reinkopiert?
Habe das mal so ansatzweise probiert und es ging, also Multis haben ne Chance.
Kann man da was intelligentes einbauen damit Dieses nicht mehr möglich ist? Chksummen etc, ka.
IP Adressenvergleich will ich nicht machen, da es zu ungenau ist zwecks Router und 5 Heim P'cs und ggf auch wegen dynamischen IPs was ja dann auch nix bringt(man kann sich ja schnell mal neu einloggen etc)
Zuletzt bearbeitet:
