jeden user = 1 konto, czy to wykonalne? Opcje

[andycole]

Witam,

Prowadze gre internetowa, w ktorej zalezy mi na tym, zeby 1 uzytkownik mial 1 konto.
Ewentualnie maksymalnie jak to mozliwe utrudnic zalozenie 2 konta.

W tej chwili mam rejestracje z aktywacja poprzez adres e-mail.

Macie jakies inne pomysly?

Po IP nie ma co sprawdzac, po przegladarce tak samo niestety :/

[gothye]

możesz jeszcze spróbować wykorzystać $_COOKIE ,ale to można ominąc przez usunięcie ciasteczek w przeglądarce

[MateuszS]

Niestety to chyba jedyne sensowne rozwiązania, najlepiej poprzez spr. emaila i IP z warunkiem z OR.

Jezeli(w bazie jest takie ip lub taki email jest zajety)
{
nie możesz się zarejestrować
}


Jak chcesz to dorzuć do tego Cookie

Ten post edytował MateuszScirka 4.02.2010, 17:39:43

[andycole]

Cookies niestety jest za slabym zabezpieczeniem, bo po 1 mozna uzyc innej patrzajki lub po 2 mozna (jak pisaliscie) usunac cookie

Co do IP, czasami wielu wielu ludzi ma takie samo IP (sieci, szkoly itp), poza tym IP jest dynamiczne coraz czesciej...

[Kshyhoo]

Musisz rejestrować wszystko, co może wyróżnić usera, czyli IP, cookie, przeglądarka, system, email, czasy logowania, wszelkie ruchy między kontami (surowce, wojska, itp)... Potem porównywać wpisy, szukać zbieżności. Niestety, nie ma złotego środka. Super, jakby można poznać adres MAC karty sieciowej, to by wyróżniło komputer, z którego łączy się user, ale to tylko możliwe w obrębie sieci. Administrowałem kiedyś grami, wiec trochę liznąłem tematu. Dobry admin potrafi z dobrze zapisanych danych wyciągnąć wiele wniosków ;p

[Kszyhuu]

Kiedyś prowadząc grę widziałem, że było to zrobione w dość prosty sposób, niewymagający wielkiego nakładu sił, a przynoszący dobre efekty.

1) Zrób plik np multicheck.php. W części html'owej daj forma gdzie wpisuje się id początkowe i id końcowe przedziału. W php zrób zapytanie, które pokaże Ci graczy o takim samym IP z tego przedziału.

[HTML] pobierz, plaintext 
<form method="post" action="multicheck.php">
id początkowe: <input type="text" name="id1"/>
id końcowe: <input type="text" name="id2"/>
<input type="submit" value="Wyszukaj" />
[HTML] pobierz, plaintext 

A w części php daj zapytanie i prześlij później wynik do html. Masz zapytanie, zmienisz tabele i kolumny i będzie si:

[PHP] pobierz, plaintext 
$result = $db -> EXECUTE("SELECT
p.ip,
p.id as pl1_id,
p.user as pl1_nick,
p.email as pl1_email,
p2.id as pl2_id,
p2.user as pl2_nick,
p2.email as pl2_email
FROM `players` p JOIN players p2 USING(ip)
WHERE p.id!=p2.id
AND ip!=''
AND p.id BETWEEN $_POST[id1] AND $_POST[id2]
ORDER BY ip, pl1_id, pl2_id");
[PHP] pobierz, plaintext 

2) Zrób w modułach plik zapisujący do bazy każdą akcję użytkownika, zapisując tam datę, id, id2(gracza, któremu coś przekazujemy etc.), ip, co zostało wpisane w okienko form/textarea, nazwę pliku.
3) Zrób przeglądarkę tych logów. W html daj forma, w którego wpisuje się daną rzecz (tę datę/ip/coś innego) i obok checkboxa, odwracającego wynik. Czyli np jeśli wpiszesz w id 50 i zaznaczysz checkboxa, to wynikiem będzie każde id poza 50. Pokażę Ci tpl'kę i php żebyś miał porównanie, przerobisz sobie:

[HTML] pobierz, plaintext 
<table width="200%">
<tr>
	<td>datestamp(data)</td>
	<td>fid(ID gracza)</td>
	<td>sid</td>
	<td>ip</td>
	<td>what</td>
	<td>much</td>
</tr>
<form method="post" action="logi.php?step=do">
<tr>
 
	<td><input type="checkbox" name="d" value="true"><input type="text" name="datestamp" size="5"></td>
	<td><input type="checkbox" name="f" value="true"><input type="text" name="fid" size="5"></td>
	<td><input type="checkbox" name="s" value="true"><input type="text" name="sid" size="5"></td>
	<td><input type="checkbox" name="i" value="true"><input type="text" name="ip" size="5"></td>
	<td><input type="checkbox" name="w" value="true"><input type="text" name="what" size="5"></td>
	<td><input type="checkbox" name="m" value="true"><input type="text" name="much" size="5"></td>
</tr>
<tr>
	<td><input type="submit" value="Szukaj!"></td>
	<td></td>
	<td></td>
	<td></td>
	<td></td>
	<td></td>
</tr>
</form>
{if $step == 'do'}
{section=list}
	<tr>
		<td>{$list.datestamp}</td>
		<td>{$list.fid}</td>
		<td>{$list.sid}</td>
		<td>{$list.ip}</td>
		<td>{$list.what}</td>
		<td>{$list.much}</td>
	</tr>
{/section}
</table>
{$error}
{else}
</table>
{/if}
[HTML] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
define('LOGGS_PER_PAGE', 300);
if (!isset($_GET['step'])) $_GET['step'] = '';
if(!isset($_SESSION['logtab']))
	$_SESSION['logtab']='logging';
 
if ($_GET['step'] == 'do'){
	$qq = array();
	if(empty($_POST['from'])) $_POST['from']=0;
	if(!empty($_POST['datestamp'])) $qq[] = 'datestamp '.(empty($_POST['d'])? '' : 'not ').'like \'%'.$_POST['datestamp'].'%\'';
	if(!empty($_POST['fid'])) $qq[] = 'fid'.(empty($_POST['f'])? '' : '!').'='.$_POST['fid'];
	if(!empty($_POST['sid'])) $qq[] = 'sid'.(empty($_POST['s'])? '' : '!').'='.$_POST['sid'];
	if(!empty($_POST['ip'])) $qq[] = 'ip '.(empty($_POST['i'])? '' : 'not ').'like \'%'.$_POST['ip'].'%\'';
	if(!empty($_POST['what'])) $qq[] = 'what '.(empty($_POST['w'])? '' : 'not ').'like \'%'.$_POST['what'].'%\'';
	if(!empty($_POST['much'])) $qq[] = 'much '.(empty($_POST['m'])? '' : 'not ').'like \'%'.$_POST['much'].'%\'';
	$loggs = array();
	if(!empty($qq))
	{
		$query = $db -> Execute('SELECT * FROM '.$_SESSION['logtab'].' where '.implode(' and ', $qq).' order by datestamp ASC limit '.$_POST['from'].', '.LOGGS_PER_PAGE);		
		while($query && !$query -> EOF){
			if($query -> fields['what'] == 'login') $query -> fields['much'] = false;
			$loggs[] = $query -> fields;
			$query -> MoveNext();
		}
		if($query)
			$query->Close();		
	}
	$tpl->assignGroup(array(
		"list" =>$loggs,
		"error" => mysql_error(),
		"next" => count($loggs)==LOGGS_PER_PAGE,	
	));
}
 
$tpl -> assign ("step", $_GET['step']);
$tpl -> parse('loggs.tpl');
?>
[PHP] pobierz, plaintext 

Później tylko w multicheck sprawdzasz podejrzane konta i sprawdzasz ich akcje w logach- czy logują się jedno po drugim, czy zawsze mają to samo ip, czy przesyłają sobie surowce, czy komunikują się przez pocztę z tymi samymi osobami, etc. Sprawdzenie, czy dwa dane konta są multikontami zajmuje około 5 minut.

[Pilsener]

Cookies niestety jest za slabym zabezpieczeniem, bo po 1 mozna uzyc innej patrzajki lub po 2 mozna (jak pisaliscie) usunac cookie

Co do IP, czasami wielu wielu ludzi ma takie samo IP (sieci, szkoly itp), poza tym IP jest dynamiczne coraz czesciej...

- niestety problem stary jak świat.

Ja bym proponował jakiś system weryfikacji oparty głównie o:

1. Gracz deklaruje, że gra z jednego komputera i przeglądarki, zatem ustawiamy mu ciacho, które zapobiega założeniu drugiego konta
2. Gracz deklaruje, że ma stałe IP i tylko z niego będzie grał

Jeśli gracz nie chce tego zadeklarować, bo chce np. grać z komputera w pracy, w domu, z kawiarenki i jeszcze z dwóch laptopów to jesteśmy ugotowani. Wtedy dajemy mu status "niezaufany" i zbieramy wszystkie możliwe informacje, następnie na podstawie tych informacji oraz korzyści wynikających z MA specjalny program w nocy wyszukuje podejrzane konta i wypluwa je rano w postaci raportu, który przegląda moderator/moderatorzy i dokonuje ostatecznej weryfikacji.

Oczywiście należy jakoś zachęcić graczy, by deklarowali, że grają z jednego komputera i przeglądarki - jakieś dodatkowe punkty czy coś.

Oczywiście jest to tylko "jakiś pomysł" i nigdy go nie testowałem w praktyce. Poza tym zostaje Ci cały szereg standardowych rozwiązań by utrudnić MA.

[Kshyhoo]

@Pilsener, masz rację, tak się właśnie odbywa w praktyce. Oczywiście, że gracz usuwa cookie, zmienia przeglądarki, loguje się z kilku miejsc. Ale rejestrując wszelkie zdarzenia i mając odpowiednie narzędzie do porównania logów, sprawny admin znajdzie prędzej czy później powiązania. Gracze "dojrzali" nie podejmują ryzyka, bo nie chcą stracić konta w grze, przygodni albo szukający sensacji nie są dobrym materiałem na gracza, są raczej "sezonowi". Generalizując, jeżeli masz sporo danych odnoście ruchów gracza na koncie, nie pomoże graczowi usuwanie ciach, zmiana przeglądarki, wchodzenie przez proxy, itp. Bo np. gracz loguje się z jednego konta i przesyła na inne swoje konto surowce. Potem restartuje neostradę (albo wchodzi przez proxy lub używa innego łącza) i używa innej przeglądarki, żeby wejść na inne swoje konto. Jedyne powiązanie w takim wypadku to przesłane surowce. Jak na razie, nie ma się do czego przyczepić. Jednak po kilkunastu dniach, jest po sobotniej imprezie suto zakrapianej i musi mu się schemat... BINGO! Albo kiepsko się uczył i mama nałożyła bana na komputer ;p Loguje się u kumpla, który pomagał mu nielegalnie wspierać się surowcami albo wojskiem. BINGO!
Na właśnie takie przypadki administrator musi być przygotowany. Szczerze powiedziawszy, nie jest problemem odnaleźć graczy wykorzystujących illegal, znacznie trudniej odróżnić grających wg. zasad, ale będących w sieci z innymi. Może być to sieć osiedlowa, biblioteka, kafejka itp. tam loguje się spora grupa graczy, jedno ip, to samo cookie, kilkadziesiąt kont i na dodatek są w jednym klanie, plemieniu, itp. Powiązań mnóstwo, nie wiadomo, kto gra uczciwie a kto próbuje admina w misia zrobić.
Reasumując - rejestracja wszystkich możliwych zdarzeń + porządne narzędzie do ich porównywania...

EDIT. Po za tym, możemy u gracza wymóc niewyłączanie/nie kasowanie cookie... kasujesz, nie grasz.

Ten post edytował Kshyhoo 5.02.2010, 12:01:37

[erix]

1. Gracz deklaruje, że gra z jednego komputera i przeglądarki, zatem ustawiamy mu ciacho, które zapobiega założeniu drugiego konta
2. Gracz deklaruje, że ma stałe IP i tylko z niego będzie grał

Zapomnieliście chyba o ADSL...

[andycole]

erix, dokladnie, zmienne IP

czyli z tego co widze brak sposobu bez sprawdzania logow

BTW. Moja gra polega na glosowaniu co X minut na Y druzyne, wiec o zadnej pomocy user userowi nie ma mowy w tym kontekscie

[erix]

Zostaje chyba tylko rejestracja kont i sprawdzanie adresów...

[altruista2]

Niestety prawda jest taka że jedyna metoda obrony przed multikontami nazywa się:

CZŁOWIEK

Może nie wnoszę do tematu nic nowego, ale niech nikt się nie łudzi że się obroni przed spamem z automatu.

Chyba że masz "fajnych" użytkowników i sami Ci będą raportować, że ktoś robi multikonta

A jeśli chodzi o adres IP, to kompletnie trzeba sobie to wybić z głowy, ponieważ jeśli np. ja jestem w podsieci to jest klops.
Np. teraz korzystam z usług generacji (sieć osiedlowa) i nie ma szans żebym sobie coś ściągnął z rapidshare (~500 użytkowników -> 1 adres IP)

Ten post edytował altruista2 9.02.2010, 01:16:00

[andycole]

hmn, a uzywajac innych jezykow?
np java? zapisac gdzies na kompie klienta informacje ze ma juz jedno konto?

[erix]

A użyszkodnik wcale nie ma obowiązku instalować czegokolwiek. Poza tym, zawsze to może wyrzucić.

[andycole]

jezeli chce zagrac bedzie zmuszony zainstalowac...

ale od strony technicznej da rade?
nakieruje ktos w jaka strone isc? jaki jezyk? serwer? manual jakis?

[Van Pytel]

Byś musial zrobić gre na kompa np: w C nie przez przegladarke, dać jakiś plik z hashem - unikatowy dla kazdego user, lub w rejestrze jakis zapis, ale to i tak Ci niewiele da bo jak polapia sie to zaczna lamac i beda mogli robic konta.

[vokiel]

Jest taki projekt Panopticlick, który sprawdza unikalność użytkownika. Warto się przyjrzeć jakie informacje zbiera, może być pomocny w takiej sytuacji

[andycole]

Van Pytel, gra juz istnieje... i zalezy mi jedynie na malej edycji

vokiel, dzieki, przyjrze sie

a jakby za pomoca apletu java zapisywac plik gdzies na kompie usera? czy antywiry nie beda tego blokowac?

[erix]

a jakby za pomoca apletu java zapisywac plik gdzies na kompie usera?

Kto będzie chciał nabić, zwyczajnie to skasuje albo odpali w sandboksie, który nawet nie zapisze niczego na HDD.

[Zyx]

Wszyscy, jak równo, zabieracie się do problemu od zupełnie złej strony. Zamiast kombinować, jak koń pod górę, siądźcie z boku i zastanówcie się, co chcecie osiągnąć i co właściwie robicie.

Pomogę trochę. Chcecie wiedzieć, czy dana osoba, np. Jasio z Warszawy, ma konto w naszej grze. Tymczasem we wszystkich metodach identyfikujecie komputer, a nie tego, kto przed nim siedzi. Jak łatwo zauważyć, nie jest to to samo - jedna osoba może korzystać z wielu komputerów, jeden komputer może być używany przez wiele osób. Możecie zablokować skutecznie jakiś komputer, ale w ten sposób nigdy nie zablokujecie jego użytkownika.

Aby jednoznacznie zweryfikować osobę (a nie jej komputer), musicie oczywiście wykorzystać informacje biometryczne, czyli np. linie papilarne, skan źrenicy oka, rozkład włosów na klacie czy co tam jeszcze jest w zanadrzu, i powiązać je z kontem. Wtedy zarówno przy logowaniu, jak i przy rejestracji, badacie czy danego skanu nie ma już w bazie. W pierwszym przypadku posłuży on do zalogowania się na konto (dzięki temu osoba będzie mogła logować się z dowolnego komputera), zaś w drugim, jeśli uzyskamy trafienie, będziemy wiedzieli, że osoba ma już konto i zablokujemy ją. Jedyną potencjalną formą ataku jest przechwycenie strumienia danych biometrycznych, co może nastąpić w trzech miejscach:
- Przez sieć,
- Na komputerze ofiary,
- Podczas transmisji z czytnika elektronicznego do komputera.

Sieć bardzo prosto można zabezpieczyć kryptografią, natomiast z komputera mogą ją wychwycić trojany. Być może, gdyby czytniki na to pozwalały, dałoby się zrzucić kryptografię na elektronikę czytnika - wtedy ewentualny atak musiałby polegać na podmienieniu cudzego komputera, co już w większości przypadków nas będzie satysfakcjonować.

Co, że science-fiction jakieś wypisuję? Dla mnie cały ten temat to czyste fantasy . Nie ma 100% skutecznej metody, zwłaszcza jeśli ma ona opierać się na identyfikowaniu komputera, a nie człowieka. Na to drugie jednak się nie zanosi z powodu braku skanerów biometrycznych w większości domowych komputerów, o wsparciu przeglądarek nie wspominając...