Jak obejść używanie proxy? Opcje

[neuromancer]

Tak sobie rozważam czasami, że jak ktoś prowadzi forum dyskusyjne i ktoś bedzie chciał mu to prowadzenie utrudnić to ten który prowadzi ma małe szanse na pozbycie się go.

Czemu?
No bo po 1. w Polsce jest Neostrada (zmienne IP)
Po 2. zawsze można użyć proxy.

Neostrada ma ograniczony zakres zmienności adresów IP więc można walnąć ban na pule adresów i da sie dalej żyć.

Ale proxy może być w innych krajach i używając go praktycznie nie jest możliwe złapanie tego który rozwala fora.

Widziałem w sieci różne skrypty itp. które pokazywały prawdziwe IP ale to ciągle za mało.
Zawsze można znaleść proxy, które nie będzie wysyłać żadnych danych o użytkowniku.

I myśle sobie, że mozna by zrobić coś jak rejestracje na forum poza przeglądarką.
Można napisać program, który będzie rejestrował userów.
User, który chce sie zarejestrować, pobiera sobie taki programik.
User sie przez niego rejestruje (zamiast przez przeglądarkę)
Programik wysyła do servera żądanie HTTP w którym wysyła dane i na dodatek coś o userze.
Tutaj mamy pole do popisu, można pobrać dane o sprzęcie usera, przemienić to jakoś w jakiś klucz i jeśli ktoś będzie dokuczał to zastosować tzw. Hardware-Ban.
Wtedy neostrada nie stanowi problemu, zmienne IP też nie, bo banujemy na konfig kompa.

Teraz zastanawiam sie czy można by to rozwiązać przez komponent ActiveX ?
Wiem, że Gry Online WP tak mają, dają hardware-bana gdy ktoś szaleje za bardzo.
Używają do uruchomienia gry komponentów ActiveX, które pobierają z systemu info i zapisują w bazie WP.
Wiem, bo kiedyś jakiś administrator mówił, że ktoś nie może grać, bo przy pobieraniu jego "klucza sprzętowego" występuje błąd.

Co myślicie o takim rozwiązaniu?
Jakby to np. było na standardzie phpBB to skończyło by sie atakowanie for przez dzieci neostrady itp.
Jeden ban by załatwiał sprawe.

Ten post edytował neuromancer 10.04.2007, 12:44:05

[seaquest]

Zmienne IP? Proxy? To na prawdę nie jest taki duży problem. Admini mają swoje sposoby i to wcale nie musi być ActiveX.

Poza tym moim zdaniem to bez sensu. Nie chciałoby mi się ściągać czegoś takiego, a ActiveX nie mam (bo mam Maca).

[neuromancer]

Dla dużych for gdzie jest kupa moderatorów to nie jest duży problem.

Ale dla mniejszych for to jest problem. Wiem, bo nie raz tak miałem (forum gdzie było ~40 użytkowników) i 2 takich z którymi nie dało sie wytrzymać.
Skończyło sie na zmianie adresu, bo nie szło sie ich pozbyć.

[Daimos]

no takie male forum
zakaz pisania postow przez gosci i aktywacja kont przez admina zalatwi sprawe (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)
pozatym takie male forum tak ciezko upilnowac?

[devnul]

a sciaganie programu = potencjalna kradzież moich danych - więc czemu mialbym się na to godzić? jaką mam gwarancje że admin jest uczciwy i nie wykorzysta tego przeciwko mnie? dziękuje - postoje

[neuromancer]

Aktywacja kont przez admina jest rozwiązaniem, ale jak ktoś sie uprze to zapuści sobie program który zarejestruje 100000000000 i więcej kont i admin nie bedzie wiedział które to prawdziwe... o usuwaniu tego już nie mówie

Ten post edytował neuromancer 8.04.2007, 19:32:06

[devnul]

na wszystko są sposoby - nie mów ze masz az tak natretnych userów - bo są większe fora którymi sie trudniej zarzadza i jakos nie mają takich problemów.
rozwiazanie jest dosc proste - aktywacja po mailu plus aktywacja admina (brak aktywacji mailowej w ciagu x czasu = skasowanie konta)

[Zeman]

Dołączam się. Do takich spraw jak rejestracja nie powinno sie stosować armaty typu activex a nawet appletu javy. Można tylko na tym stracić. Jeśli jednak uważa Pan nadal że taka rejestracja będzie potrzebna, to już lepiej applet napisać niż actiex. Na koniec dodam, że nie piszę tego jako wielbiciel javy i appletów bo mam większe doświadczenie w pisaniu activex aniżeli appletów.

[Turgon]

Według mnie takie rozwiązanie jest głupie. Nie wszyscy mają M$ Windows i mają ochotę używać Wine lub czasem co gorsza, gdyby trzeba byłoby użyć Cedegi.
Też wątpliwe jest bezpieczeństwo tego typu systemu.

Zrób oddzielną stronę z rejestracjami, a następnie akceptuj wybrane i voila!

[Jabol]

A jak później zweryfikujesz ten klucz hardwarowy jak użytkownik będzie wchodził na Twoją stronę przez przeglądarkę? A poza tym każdy program da się podrobić/oszukać (można by napisać automat który rejesestruje wszystkich po koleji użytkowników, wg. alfabetu [a-zA-Z0-9_]* wymyślając sobie jakieś dziwne sprzętowe klucze).

[Turgon]

Jabol, jeśli będzie go liczył na podstawie kombinacji podzespołów, to co z seryjnie robionymi komputerami zonk... A żeby podrabiać wystarczy katalog podzespołów i jakaś prosta lista ich numerów seryjnych (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[neuromancer]

A co myślicie o czymś takim:

Nakazuje sie użytkownikom przy rejestracji używania jakiegoś proxy, które zwróci prawdziwe IP usera w X_FORWARDED_FOR
No bo jak wiadomo, nie można użyć 2 proxy na raz, więc X_FORWARDED_FOR powinno dać prawdziwe IP usera.

Jakby tego użyć tylko przy rejestracji nowych userów, a gościom zablokować pisanie to może by zadziałało i nie odstraszyło zbyt wielu userów.

PS: Chodzi mi tutaj poprosu o to jak obejść proxy i wykryć prawdziwe IP userów

Ten post edytował neuromancer 10.04.2007, 12:45:04

[devnul]

No bo jak wiadomo, nie można użyć 2 proxy na raz

mylisz się.

[neuromancer]

Zwykłe dziecko neostrady raczej nie bedzie wiedziało jak

[devnul]

to i nie potragiło by obejść porządnie zrobionych zabezpieczeń zabezpieczeń

[seaquest]

proxy odstraszy użytkowników. Większość z nich nawet nie wie co to jest.

[Wykrywacz]

Ale o jakim programiku rejestrującym 1000000 użytkowniku ty mówisz?
Bo jak napiszesz taki skrypt który jest wstanie to zrobić, łamiąc zabezpieczenia forum, chodźby jak plik graficzny w phpbb2, albo smf. To raczej nie powinieneś mieć problemu z zabezpieczeniem forum, przed takimi atakami.

Użytkownik jest zmuszony ręcznie się rejestrować, więc nawet jak będzie bardzo uparty dla admina jest to moment aby to wykasować. Jeżeli nawet byłby to bot. To bierzesz zapisujesz ip rejestrujących się, jeżeli zobaczysz 10tyś rekordów to wywalasz rekordy po IP. Jakoś mi się nie widzi aby za każdym razem taki skrypt najpierw wywoływał przyznaniem mu innego IP...

Więc robisz aktywacje przez admina i zgłowy problem.