Come identificare in modo affidabile gli utenti su Internet?

Question

So che questo è un grande. In effetti, può essere usato per alcuni wiki della comunità SO.

Ad ogni modo, eseguo un sito Web che NON utilizza l'autenticazione esplicita degli utenti. È pubblico come aperto a tutti. Tuttavia, a causa della natura del servizio, alcuni utenti devono essere bloccati a causa di comportamenti scorretti.

Attualmente sto bloccando gli indirizzi IP, ma sono a conoscenza del presunto fatto che molte persone reimpostano la cache del client DHCP in modo che il proprio ISP assegni loro nuovi indirizzi. Questo è un fatto? Penso che sia certamente una possibilità redditizia per alcune persone che vogliono eludere l'accesso negato. Quindi gli IP si rivelano essere un modo subottimale per gestire questo. Ma non c'è nient'altro, vero?

Gli indirizzi MAC non sopravvivono su WAN (passaggio da hop a hop?), E anche se lo facessero, anche questi possono essere falsificati, anche se penso meno facilmente rispetto al rinnovo IP.

cookie e persino cookie Flash sono fuori questione, perché ci sono tonnellate di "tutorial" su come pulire questi, e quelli intenti a scatenando il caos su Internet sono ben consapevoli e ben attrezzata contro tali misure rudimentali Vorrei impiegare.

C'è qualcos'altro su cui appoggiarsi? Stavo pensando al profilo euristico, raccogliendo i dati disponibili dal lato del cliente e formando qualche chiave con esso, ma non sono arrivato al punto di implementarlo - è un'opzione?

Answer 1

Non è possibile bloccare completamente un utente che è determinato ad accedere al sito. Tuttavia, puoi renderlo abbastanza difficile per loro che non ne vale la pena.

Answer 2

A causa della natura di Internet, questo non è praticamente possibile. Sì, puoi bloccare IP specifici, ma come hai detto, è abbastanza facile per il "misbehaver" medio cambiare semplicemente il loro IP. Anche gli indirizzi MAC possono essere falsificati. Questo è il motivo per cui i siti con questi problemi utilizzano l'autenticazione. È l'unica vera soluzione.

Answer 3

Come altri hanno già detto, questo è un problema impossibile. Chiunque sia abbastanza determinato può sempre trovare un altro modo. L'esempio canonico di questo problema è con Wikipedia, e puoi leggere i vari passaggi di blocco che prendono qui: http://en.wikipedia.org/wiki/Blocking_policy

Answer 4

La risposta semplice è che questo è impossibile. Come altri hanno già detto (incluso te stesso), chiunque sia determinato troverà un altro modo.

È possibile bloccare IP o utilizzare i cookie, per scoraggiare il sobillatore casuale. Qualcuno che vuole solo pubblicare parole maleducate nei commenti del blog probabilmente andrà altrove, ma non spaventerà qualcuno che vuole causare problemi sul tuo sito in particolare,

Se questo comportamento scorretto è un problema serio per te, allora io Pensa che la tua unica risorsa è richiedere l'autenticazione per qualsiasi tipo di accesso che potrebbe essere soggetto a tale abuso.

È possibile ridurre al minimo il fastidio per gli utenti utilizzando OAuth e accettando molti provider diversi, proprio come fa SO, piuttosto che obbligare tutti gli utenti a registrarsi e memorizzare ancora un altro set di credenziali di accesso.