Combattere i multiaccount

[bestdragon]

Buongiorno a tutti!

Di sicuro conoscerete il multiaccount... (nei browsergame, su facebook, ecc)

Beh, purtroppo mi ritrovo a combatterlo nel mio sito!

Sto per implementare il login che da accesso a servizi aggiuntivi come minigiochi dove si combatte con altri isrcitti, con classifica, ecc... Ma vorrei riuscire a riconoscere al massimo del possibile eventi di multiaccount, usando PHP.

Questo perchè da regolamento è ammesso un solo account per utente.

So utilizzare le sessioni, controllare l'IP e la pagina web di provenienza con PHP ma mi mancano proprio le conoscenze per avere la certezza che questi controlli bastino!

Ad esempio:
1) Molti gestori, come fastweb, forniscono un IP dinamico. Quindi se blocco un determinato IP rischio di bloccare altri senza nessuna colpa;
2) l'IP del proprio PC si può cambiare con Thor ad esempio
3) si possono usare i proxy web
ecc

Quindi per ogni punto (e altri che non conosco) ho bisogno di sapere come rendere efficaci i controlli lato server, senza bannare chi non lo merita.

Sapete consigliarmi che codice usare o dove trovare informazioni dettagliate al riguardo (in italiano possibilmente)?

Grazie

[NPP]

Inizia subito con il creare un cookie con l'username dell'account, quando un utente fa il login.
Se cambia ip (reset router) e poi prova a collegarsi col doppio, lo tracci col cookie.
La gente però potrebbe cancellarli (se capiscono il trucco) oppure usare 2 browser diversi.


Altrimenti devi pensare a un discorso piu complicato : fare un browser game con un software aggiuntivo, che monti come vuoi.

L'ideale sarebbe prendere i macadress delle schede di rete, ma è illegale.

[bestdragon]

Grazie della risposta.

Originariamente inviato da NPP
Inizia subito con il creare un cookie con l'username dell'account, quando un utente fa il login.
Se cambia ip (reset router) e poi prova a collegarsi col doppio, lo tracci col cookie

Gia fatto. Registro ogni IP che l'utente usa.
E in base al numero IP in quanti lo usano.

Originariamente inviato da NPP
La gente però potrebbe cancellarli (se capiscono il trucco) oppure usare 2 browser diversi.

I dati contenuti in $_SESSION sono lato server se non sbaglio...
Ma anche salvati nel browser. Ad esempio il contenuto della sessione che ho provato ora è "sv5c680plbfntrp4ujr1hhk0e0" quindi criptata, ma non so in che codifica... Devo usare session_regenerate_id ad ogni comunicazione client-server?
Se cancello quello dal browser la pagina non trova la corrispondenza con quello sul server è giusto? Anche nel caso io abbia usato $_SESSION['nome'] = "marco";?

Originariamente inviato da NPP
Altrimenti devi pensare a un discorso piu complicato: fare un browser game con un software aggiuntivo, che monti come vuoi.

Finchè non sono sicuro che il progetto funzioni e sia molto utilizzato posso permettermi solo un host a pagamento, come aruba ad esempio, per ora mi basta PHP.
Javascript per certo non aiuterebbe per niente... dato che è tutto lato client...

Originariamente inviato da NPP
L'ideale sarebbe prendere i macadress delle schede di rete, ma è illegale.

Non sapevo si potesse fare con PHP...
So che oltre all'IP si può ottenere l'HOST ma non conosce bene le differenze...

[NPP]

Si le sessioni sono su server, ma qualcuno potrebbe usare fastweb ed avere lo stesso ip del vicino di casa.
Puoi bannare qualcuno solo se coincidono sia cookie che ip allo stesso tempo. Altrimenti rischi di sbagliare.

Non ci sono altri metodi, a parte questo dei cookie e il controllo dell'ip, che io sappia.
Con php non credo tu possa prendere altri dati, almeno da quel che so io.

Eventualmente se non vuoi fare un software, crea un pacchetto zip con dentro uno zip le immagini del sito e alcuni files. Crei una semplice skin che loro caricano da client e non da server, aumenti i tuoi online e dentro ci metti un vbscript, che raccoglie alcuni dati su quel pc. Ogni volta al login fai eseguire lo script al client che ti manda alcuni dati.

Bada però, sto parlando ipoteticamente, perchè non so quanto questa cosa possa essere legale, so che alcuni siti di una famosa azienda tedesca di browsing game usano controlli tramite skin, ma non mi sono mai messo a smontarli. Ti consiglio di contattare altri amministratori di siti simili e vedere se loro hanno fatto qualcosa di diverso.

[dottwatson]

infatti il mac address non viene fornito come info dal php e non è nemmeno tracciabile

più che 'illegale' direi 'irrecuperabile'

[bestdragon]

Il gioco deve anche essere accessibile a tutti e con qualcosa lato client non lo sarebbe più...
Poi c'è anche il problema se qualcuno si connette dalle aree pubbliche con internet gratuito... O dagli internetpoint, dove non so come vengono configurati, ecc...

Provo a contattare altri amministratori ma dubito fortemente che mi diano informazioni al riguardo, dato che sapendo le regole usate e non conoscendomi sarebbero sfiduciati a fornirle...

Ah, ovviamente per evitare la maggior parte di azioni compiute dal pc in automatico metterò un captcha ogni tot tempo...

Avete altri consigli?

Ps. grazie dell'aiuto!

[Virus_101]

mmm bel il controllo ip e' sicuramente fondamentale ....

pero' ovviamente c'e' il problema fastweb ... e il mac addr nn e' recuperabile.

Non potendo gestire meglio questi dati io ti consiglio di fare cosi' :

Crei una tabella sul db per gestire gli ip condivisi : cyberrooms , utenti fastweb , io gioco con mio fratello da casa mia.... etc..
Su questa tabella tracci gli account che segnalano queste necessita'.

A lvl server fai sempre i controllo ip ma alla fine ti consiglio di non perderci la vita sopra tanto per qualsiasi soluzione tu possa trovare gli utenti troveranno sempre un modo per andare giu' di multi account.

Quello che puoi seriamente fare e' un bel sistemino di controllo interazioni e segnalazioni.
Il sistema di segnalazioni consente algi utenti di inviare sengalazioni di bug abusing, multi accounting, cheating etc...

Il sistema di controllo interazioni ti consente vi fare delle statistiche su quante volte un giocatore ha combattuto e vinto contro uno stesso altro giocatore ...
Da queste tipologie di dati puoi identificare possibili "cheaters" ... questo unito ad un rigido sistema di regole e punizioni ti aiutera' ad evitare il problema.

C'e' un esempio proprio lampante di quante risorse come sviluppatori investiamo a rendere sicuri o a cercar di impedire cheats e bug abusing nei giochi.
Pensate ad Half Life 2. Gli sviluppatori hanno investito almeno 6mesi di lavoro, e moltissimi soldi, per creare il sistema anti copia a discapito dello sviluppo del gioco .
Alla fine dopo 2 ore dalla vendita della prima copia c'erano gia' sul mulo tutto quanto serviva per scaricare il gioco e craccarlo (non che io concordo io i giochi li ho sempre comprati ) .... pensaci

[bestdragon]

Le possibilità di avvantaggiarsi con il multiaccount le rendo gia minime.
Solo attaccando i propri altri account o stando nella stessa alleanza si potrebbe tentare di avere benefici.

Come suggerito non spenderò troppo tempo a cercare un modo di evitarli ma continuerò almeno finchè non avrò il mio sistema valido che almeno i poco esperti li trova.

Sicuramente le regole sono rigide e le punizioni ancora di più, non come in altri giochi ove basta che ti riscrivi con nick diverso o cambi "mondo"...

Ho anni di esperienza di gioco assiduo nei browsergame e vi assicuro che spendere il propio tempo e energie per divertirsi mentre scopri poi che i più forti sono tali perchè violano le regole ti viene un nervoso che vorresti attaccarli e distruggerli finchè non smettono di giocare ma ovviamente essendo loro più forti grazie al multiaccount (o sitter, sharer, bot, ecc) non hai speranze che perdere!

Secondo me quindi è meglio prevenire questi casi, che curarli. Anche in termini di tempo speso come programmatore.

Un attacco che sicuramente non posso prevenire è nel caso in cui un hacker attacca DIRETTAMENTE il server che ospita il mio sito, ma qui l'argomento diventerebbe (i server aruba quanto sono sicuri?)

Ma l'HOST IP a cosa serve? Cambia dall'IP?

Un altra cosa che vorrei sapere: tutte le info che il browser passa al server senza che l'utente possa disabilitare.

Grazie

[k.b]

Non puoi realisticamente risolvere il problema del multiaccount, non c'e' modo di identificare univocamente un utente via browser.

[bestdragon]

Originariamente inviato da k.b
Non puoi realisticamente risolvere il problema del multiaccount, non c'e' modo di identificare univocamente un utente via browser.

Spero tu ti sbagli

In rete non c'è ancora niente ma da autodidatta sono riuscito in poche ore a risolvere il problema delle pagine aggiornate, impedendo di inviare doppi dati via GET o POST, usando solo PHP :-)

Quindi ora faccio più che posso per trovare una soluzione anche a questo! (sono consapevole che è un problema ben più difficile! Ma per il PHP non ci sono limiti se il programmatore non si pone tali limiti! )

Cmq seriamente, la tua frase la penso anche io PER ORA ma cerco altre info a 360° (escludendo a priori js dato che è tutto lato client!).

Difficilmente mi arrendo, sono testardissimo :-)

Anzi ho trovato questa guida:
http://www.php.net/manual/en/reserve...les.server.php
Quali di quelle variabili possono tornarmi utili?

Grazie ancora!

Ps. ho chiesto info a dei programmatori di un famoso browsergame... spero in una risp positiva!