Hvordan Låse Av En Side For Kun Betalte Brukere?

[TorsteinO]

Selvsagt - alt kan omgås hvis man virkelig vil, men å stenge kontoer som er logga inn med alt for mange forskjellige ip'er samtidig over et relativt kort tidsrom, vil utelukke veldig mye juks.

Selv dynamiske ip'er bytter ikke i hytt og pine, de bytter f.ex. ikke mens du er logga på, så du trenger ikke å ha det så voldsomt travelt med nedlastinga picxx. Ganske mange gir deg også samme IP selv hvis du logger deg av og på igjen innenfor et relativt kort tidsrom. Kalles leasetid hvis jeg ikke husker helt feil, så du kan jo se om du finner ut noe om hvor lang denne er hos din leverandør.

Hvordan det vil være hvis man surfer på telefonen mens man beveger seg og dermed bytter basestasjoner skal jeg ikke si sikkert, men dette gjelder heller ikke akkurat et veldig stort antall brukere. Hvis du er nogenlunde stasjonær vil jeg tro at du har en viss leasetid på ip'en.

Men, for å gjøre det enkelt - prøv det selv. Meld deg på en eller annen paysite, og bruk masse forskjellige ip'er til å logge deg inn med over et veldig kort tidsrom, gjerne også forskjellige ip'er samtidig. Vedder ganske mye på at de fleste sider da vil stenge kontoen din ganske raskt, siden dette i de aller fleste tilfeller vil bety at flere deler bruker samme passord og brukernavn.

 

[picxx]

Men, for å gjøre det enkelt - prøv det selv. Meld deg på en eller annen paysite, og bruk masse forskjellige ip'er til å logge deg inn med over et veldig kort tidsrom, gjerne også forskjellige ip'er samtidig. Vedder ganske mye på at de fleste sider da vil stenge kontoen din ganske raskt, siden dette i de aller fleste tilfeller vil bety at flere deler bruker samme passord og brukernavn.

Tror nok de fleste medlemssider validerer ved hjelp av sessions (cookies) så om man gidder å logge inn og ut av kontoen med 1000 forskjellige IP'er ville jeg tro et veldig lite mindretall faktisk hadde reagert på dette (annet enn å tro at medlemmet hadde alt for mye fritid).
Er du f.eks. hos en kompis og skal logge inn må du igjen validere nettleseren hans ved å trykke på en link du blir tilsendt på din registrerte e-post adresse før du kan logge inn med brukernavn og passord.
Ekskluderer også at valideringen ligger hos en (evt. ustabil) tredjepart.

 

[TorsteinO]

Nå sa jeg ikke "logge ut og inn", men bare "logge inn", noe som er en viss forskjell, men joa, de validerer sikkert ved hjelp av cookies osv, men hvordan sikrer de seg mot deling av passord? Du mener at man blir automatisk utlogga hvis noen andre logger inn med samme passord/bruker fra en annen maskin? Tja, jeg tviler, men i såfall er det jo ikke mulig/meningsfylt å dele passord med andre, så da er jo problemet i alle fall løst for TS.

Igjen - det er ikke værre enn å prøve, jeg tror du veldig raskt vil få beskjed om at kontoen din har blitt stengt.

 

[picxx]

Nå sa jeg ikke "logge ut og inn", men bare "logge inn", noe som er en viss forskjell, men joa, de validerer sikkert ved hjelp av cookies osv, men hvordan sikrer de seg mot deling av passord? Du mener at man blir automatisk utlogga hvis noen andre logger inn med samme passord/bruker fra en annen maskin?

Cookies validerer i nettleseren, så en må sette cookies i den nettleseren man bruker ved å trykke en link som blir sendt til din e-post adresse. M.a.o. bruker man en tredjepart (i dette tilfellet din e-post tilbyder) som ekstra sikkerhet i tillegg til eget brukernavn og passord.

 

[TorsteinO]

Det der stemmer jo ihvertfall ikke. I såfall skulle man ikke ha kunnet logge inn fra en annen maskin, eller etter å ha sletta alle cookies uten å gå via linken man opprinnelig fikk i mailen, og jeg tror ikke du kan vise oss en eneste side der det faktisk funker sånn, siden det ville vært ekstremt lite brukervennlig.

 

[picxx]

En god del medlemssider innen adult bruker denne måten, men nå er vel gjerne dette sider man ikke åpner så mange andre plasser enn på sin hjemme-PC da.
Om dette blir brukt på mainstreamsider vet jeg ikke, men som du sier er det jo lite brukervennlig, men IP logging kan jo også fort bli det om man ofte skifter IP adresse.

I bunn og grunn tror jeg ikke man trenger å kaste bort "hav av tid" på å sjekke og dobbelsjekke sikkerheten på medlemsdelen på sin side, da det mange ganger er slik jeg nevnte lengre opp. Man snakker gjerne mye om å dele innlogg med andre, men jeg tror det skjer i veldig liten grad (ihvertfall på norske sider).

 

[TorsteinO]

Når jeg sier det om IP, så mener jeg, som jeg har prøvd å forklare et par ganger nå, ikke at man aldri kan logge inn fra noen annen IP-adresse enn den man brukte opprinnelig, men dersom f.ex. samme brukerkonto logger seg inn fra mange forskjellige ip'er spredt over hele kloden i løpet av noen timer, da tror jeg nok de fleste kontoer vil bli sperra. Eller dersom samme konto er aktive på flere IP'er samtidig. Selv "dynamiske" ip'er er også statiske over et visst tidsrom, så det tror jeg nok ikke vil trigge noen som helst former for slike sperrer.

Det du sier er jo egentlig å dra sikkerheten enda et hakk oppover, og det er klart man kan gjøre voldsomt mye ut av sånt hvis man vil, men det handler om å finne en mellomting mellom sikkerhet og brukervennlighet, og der er det punktet jeg nevner ang. ip veldig grunnleggende, og fremdeles veldig brukervennlig. Jeg tror nok man kan telle de som har legitime grunner til å trenge å være logga på fra 14 forskjellige ip'er verden rundt i løpet av få timer, eller for den saks skyld samtidig, på veldig få fingre.

Men sleng ut en link til en side som bruker det systemet du snakker om da picxx, så jeg får tatt en titt, for jeg syns det høres veldig klønete ut.

 

[Erlend]

Når jeg sier det om IP, så mener jeg, som jeg har prøvd å forklare et par ganger nå, ikke at man aldri kan logge inn fra noen annen IP-adresse enn den man brukte opprinnelig, men dersom f.ex. samme brukerkonto logger seg inn fra mange forskjellige ip'er spredt over hele kloden i løpet av noen timer, da tror jeg nok de fleste kontoer vil bli sperra. Eller dersom samme konto er aktive på flere IP'er samtidig. Selv "dynamiske" ip'er er også statiske over et visst tidsrom, så det tror jeg nok ikke vil trigge noen som helst former for slike sperrer.

De største bruker ihvertfall den metoden du beskriver. Om man logger inn fra helt forskjellige plasseringer i løpet av kort tid, så blir kontoen stengt på null komma niks.