IP's speichern - wie am besten?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • IP's speichern - wie am besten?

    Hallo!

    Ich habe vor in einem script um den missbrauch (mehrfachanmeldungen der selben person / neuanmeldung nach ban) zu erschweren die ip adressen der user zu speichern.

    Dazu habe cih 2 Fragen:
    1. Man bekommt ja bei jedem reconnect eine neue IP aber stimmt es dass der selbe user meist nur IP's aus gewissen bereichen zugewiesen bekommt? Oder wie funktioniert dass mit den IP Sperren?

    2. Damit das halbwegs funktioniert müsste man ja bei jeder anmeldung des users die IP speichern also wäre es wohl am besten eine extra tabelle mit user-id und IP anzulegen? nur ein extra IP Feld beim User würde ja wohl irgendwann überlaufen.

    Jo da ich sowas noch nie gemacht habe wollt ich erstmal ein paar meinungen dazu hören bevor ich mich blind ins verderben stürze ^^

    thx!

  • #2
    1. In gewisser Weise schon
    2. Auf jeden Fall eine Extra Tabelle und am besten noch mit Timestamp, dass du 1 Woche alte Einträge per Script löschen kannst.

    Aber eine mehrfache Anmeldung kannst du dadurch erreichen, dass eine Mailadresse nur einmalig benutzt wird. Dann schickst du bei jeder Anmeldung einen aktivierungslink und ein generierstes Passwort.

    Kommentar


    • #3
      Re: IP's speichern - wie am besten?

      Man bekommt ja bei jedem reconnect eine neue IP aber stimmt es dass der selbe user meist nur IP's aus gewissen bereichen zugewiesen bekommt?
      nein, das stimmt so nicht. dein provider hat nur eine bestimmten bereich an IPs zur verfügung, aus dem er dir eine zuweist.
      also wäre es wohl am besten eine extra tabelle mit user-id und IP anzulegen? nur ein extra IP Feld beim User würde ja wohl irgendwann überlaufen.
      nein, es reicht, die momentane IP in der user-tabelle zu speichern, da für gewöhnlich nur eine IP pro user vergeben ist und du aus älteren IPs überhaupt nicht sicher auf neue schließen kannst, andersherum funktioniert das genauso wenig.

      mehrfachanmeldungen kannst du eigentlich nicht 100%ig verhindern.
      Die Zeit hat ihre Kinder längst gefressen

      Kommentar


      • #4
        Original geschrieben von archie

        Aber eine mehrfache Anmeldung kannst du dadurch erreichen, dass eine Mailadresse nur einmalig benutzt wird. Dann schickst du bei jeder Anmeldung einen aktivierungslink und ein generierstes Passwort.
        Das wird bereits Gemacht aber jeder kann sich ja ohne aufwand zig emails zulegen (zb die "fun adressen" bei gmx).

        Nochmal zum Thema Missbrauch: es geht mir eigentlich nicht nur darum dass gebante user sich nicht erneut anmelden können sondern vor allem darum dass einige user sich zeitgleich mehrere Accounts zulegen um somit zu bescheißen. (ist eine Liga / Ladder Seite)

        Also würde ich eben die Ip adressen speichern um diese dann zb per cronjob jede woche abgleichen zu lassen um somit die Admins auf potentiellen missbrauch aufmerksam zu machen.

        @hund: 100% geht natürlich nie aber man kanns ihnen immerhin so schwer wie möglich machen.

        Kommentar


        • #5
          hmm was meinst du mit alte ips kann man eh löschen? wenn die gar nix aussagen wozu sind ip bans dann überhaupt gut?

          Kommentar


          • #6
            wozu sind ip bans dann überhaupt gut?
            gute frage ... ip-ban zwingt den jeweiligen besitzer, sich eine neue ip zuzulegen. bei statischen ips hast du pech gehabt, bei dynamischen hilft nur stecker ziehen/reconnect.

            sperrst du eine an sich dyn. ip für wochen, werden sich die user, die sie nach dem ban erhalten, ziemlich ärgern.

            aus einer dyn. IP wird wohl niemand (außer deinem provider) verläßlich deine vorherigen feststellen können.
            Die Zeit hat ihre Kinder längst gefressen

            Kommentar


            • #7
              Und es gibt auch Proxyserver :/
              Also 100% Sicherheit, hast du da nie, außer die User sind nciht so Hell im Kopf, da reicht es nen Cookie zu setzen.

              Kommentar


              • #8
                Den ersten Kram würde ich über die Email-Adresse machen.
                Darf eben nur einmal vorghanden sein und muss über einen Link aktiviert werden.

                2. Schritt wäre, die IPs zu speichern und eine Zuordnung von IPs<->Accounts zu führen. Sollte sich eine Ip in einem gewissen Zeitraum auf mehere Accounts einloggen, muss eben manuell ausgewertet ob es sich tatsächlich um den gleichen User handelt. Hier würden z.B. auch Zugriffe über Proxys, User in einem Lan mit dem gleichen Gateway und blöde Zufälle bei der Verteilung der IPs auflaufen.
                Um dies ein wenig zu verhärten, würde ich ein Zähler führen, wie oft dieser "mehrfacher" Zufriff erfolgt ist.

                Zusätzlich, würde ich Informationen in den Cookies setzten, damit könnte man hin und wieder ein Hinweis bekommen.

                Kommentar


                • #9
                  Es gibt keine 100% Sicherheit einen User permanent von einer Website zu sperren, man kann es dem User aber erschweren.

                  1.E-Mail sperren
                  2.Cookies setzen
                  3.IP Sperren

                  Zu 1. sollte eigentlich klar sein. Die E-Mail Adresse des alten Accounts für Neuanmeldungen blockieren.
                  Nachteil: Jeder kann sich innerhalb wenigen Minuten eine neue E-Mail Adresse zu tun.

                  Zu 2. Du setzt allen Usern die sich einloggen ein Cookie die die UserID enthält. Dann in deinem Script einfach eine Cookie abfrage machen, wenn das Cookie die UserID des gesperrten Users aufweist, Neuanmeldung nicht zulassen.
                  Nachteil: Jeder kann in seinem Browser alle Cookies löschen.

                  Zu 3. Hier ist es Sinnvoll wenn du immer die zuletzt verwendete IP des Users gleich mit in der UserTabelle speicherst. Bei der Neuanmeldung einfach eine MySQL Abfrage machen wie: SELECT * FROM users WHERE ip = '$ip'; Falls true, Anmeldung nicht erlauben.
                  Nachteil: Modem/Router neu starten, oder ProxyServer verwenden, und schon hat man eine neue IP. Was ich hier allerdings nicht machen würde ist, wie du vorgeschlagen hast, jede IP die der User jemals verwendet hat zu speichern und dann zu blockieren. Wenn du dann plötzlich 300 IPs gebannt hast, kann es gut vorkommen dass ein anderer Besucher, der nun Wochen später eine der 300 IPs zugewiesen bekommen hat, auch blockiert wird. Also einfach immer nur die zuletzt verwendete IP des Users speichern.

                  Die 3 Abfragen kann man dann auch noch ein wenig Intelligent kombinieren, so dass wenn sich der gebannte User mit einer neuer E-Mail anmeldet, aber seine Cookies nicht gelöscht hat, du ihn anmelden lässt, dann aber gleich sperrst. So ist seine neue E-Mail Adresse auch gleich gebannt.

                  Kommentar


                  • #10
                    Also dann mal danke allen, werd mich dann bei gelegenheit an die umsetzung machen...

                    Kommentar

                    Lädt...
                    X