Как дать перманентный бан за мультиак на сайте?

Question

[Letopisec]

Есть у меня сайт, и есть человек у которого есть tor browser, vpn, proxy, можно ли отследить при создании акка, что это один и тот же человек?

Comments

[WbICHA]

Ты лучше шадоу бан него вешай, с баном сразу всё понятно, а шадоу бан не столь очевидный.

[Letopisec]

WbICHA, почему шадоу бан не очевидный? и как это вообще работает в общих чертах

[Сергей delphinpro]

Letopisec, Это когда ты повесил бан на чела, а он не знает. он видит все свои посты, и думает, что все ок. А никто больше не видит.

[shurshur]

Борьба с нежелательными регистрациями пользователей - это всегда компромисс между надёжностью защиты и неудобствами для пользователя.

Самое простое решение - перенести проблему множественной регистрации на тех, кто умеет с этим бороться лучше: на сотовых операторов (авторизация требует телефона и кода из SMS) или соцсети. Конечно, это не суперзащита, но заводить новый номер телефона или аккаунт в соцсети после каждого бана заметно сложнее, чем новую почту.

Можно заранее банить сети TOR и даже просто сети известных датацентров. Некоторые сайты так и делают. Да, это тоже не суперзащита, но опять же - сузит манёвренность нарушителя.

Можно сделать ограничения на начальном этапе. Например, первые три дня или первые 15 сообщений пользователь видит лишь часть разделов авторизованной области сайта, лимитирован в числе отправляемых сообщений в сутки итд. Усложнит регистрацию мультов - их придётся "прогревать", а за это время их можно будет обнаруживать и банить.

Ну а вообще если это вопрос общетеоретического характера, то можно давать общие советы, а если борьба с конкретным пользователем, то советы могут быть более целенаправленны. И, конечно, зависит от специфики сайта. То, что годится для форума, может не очень пригодиться для доски объявлений или сайта онлайн-курсов.

[d-stream]

shurshur, "вход по госуслугам")

[Владислав Лысков]

Сергей delphinpro, а это не сильно жестоко?

[Сергей delphinpro]

Владислав Лысков, не знаю. я просто объяснил что такое теневой бан

[pddev]

А точно нужен именно перМОМЕНТный бан?

[Михаил Р.]

Владислав Лысков, жестко будет, когда ему еще в случайном порядке дикпик будет показываться.

[Михаил Р.]

Letopisec, он заходит с одного и того же устройства? Если да, то можно отследить по железу

[Владислав Лысков]

Михаил Р., не, это ерунда
вот представь, зашёл ты на форум, общщаешься как обычно, выпускаешь весь свой скопившийся яд, а результата никакого, как будто тебя нет, но ты видишь всё как раньше..., так сума можно сойти

[Михаил Р.]

Владислав Лысков, ну я же написал - "дополнительно", ко всем остальным опциями ;)

[Владислав Лысков]

Михаил Р., а, ну ладно
короче, шэдоу баны нудно запретить на уровне государства
РКН, я знаю, вы это читаете, примите к сведению

[Михаил Р.]

Владислав Лысков,

короче, шэдоу баны нудно запретить на уровне государства

С какого? Человек нарушает правила площадки - норм, площадка вводит теневой бан не запрещенный законом - запретить.

[Владислав Лысков]

Михаил Р., да, теневой потенциально может морально уничтожить личность

[pddev]

Владислав Лысков, Сайты, применяющие теневые баны - рушат свою репутацию навсегда. Правда, если сайт маленький и личный, то это не принципиально (если он не направлен на узкую аудиторию).

[shurshur]

Вы о чём? Пользователь быстро поймёт, что у него shadow ban (а он это понять может легко, например, зайдя анонимно или с проверочного мульта). И как только он узнал, что так на сайте можно сделать, эта тактика против него перестанет работать окончательно.

Answer 1

[Василий Банников]

По ip точно не получится отследить. А раз тут разные браузеры - по фингерпринтингу тоже не выйдет.
Так что только по признакам, которые пользователь сам по глупости укажет (одну и ту же почту например) или по поведению.

Comments

[WbICHA]

одну и ту же почту например

И ещё можешь добавить хоть какую-нибудь проверку на временную почту. Регать для каждой регистрации ещё и почту несколько геморно.

[Letopisec]

а по железу можно ведь тоже забанить? как-то можно определить что с того же компа?

[Сергей Горностаев]

Letopisec, так вам браузеры и дали доступ к железу.

[MasterGod]

Мне жаль, но Tor Browser, VPN и Proxy как раз и были созданы для того чтобы скрыть индефикацию человека. Они скрывают или маскируют его данные.. Я когда учился на программиста читал что есть мак адрес, физический адрес компьютера. Но как это использовать мы не проходили или может быть я забыл просто. В этот вопрос я не углублялся.. Может быть тебе поискать информацию в этом направлении?
Но скажу так: компьютер в сети - по факту программа(информация или код нулей и едениц) и любые его параметры и любая его информация может быть скрыта и изменена. Те кто хотят себя скрыть, будут скрывать. Всё дело в опыте и в толике знаний, которых не так много нужно чтоб (для примера) программировать. В основном это программы которые уже были созданы другими, по факту надо лишь разобраться что и как работает.

Может быть подумать, как использовать куки файлы, только не выводить пользователю что он уже зарегистрирован, а например включить "счётчик" или " таймер" и забанить его и удалить его записи например минут через 15? Таким образом сложнее будет понять, как его вычислили. Может начать думать, что его мониторили просто.
Идея пришла, почитав информацию тут:

https://www.cyberforum.ru/php/thread2191683.html

[shurshur]

MasterGod, MAC-адрес виден только в пределах локальной сети пользователя, да и меняется легко.

[Aetae]

Сергей Горностаев, ну параметры видухи можно через webgl утянуть, размеры экрана и т.д. Собственно гуглить техники фингерпринтинга.

[Довольный Айтишникъ]

Aetae, вот только тор браузер старается их как можно более похожими сделать, чтоб максимально затруднить идентификацию пользователя.

[pddev]

Короче, как в ответе и сказано - выделить паттерн поведения и временно по нему фильтровать, пока его не попустит (несколько месяцев).

Answer 2

[Довольный Айтишникъ]

Посмотреть статистику посещений сайта из сетей ТОРа, убедиться, что этих посещений меньше процента, заблокировать любой доступ из TOR сетей и спать спокойно, так как посетителей оттуда минимум, в основном всякие любители пощупать защиту сайта.

Comments

[pddev]

Глупость

[Владимир Коротенко]

pddev, Обоснуйте. Целевая аудитория TOR это диссиденты и всякие криминальные элементы.
Вот зачем эта тусовка нужна на коммерческом сайте?

[Василий Банников]

Владимир Коротенко, ещё блокировки через Тор обходят

[pddev]

Владимир Коротенко, Те, кто обходят блокировки = криминальные элементы... Ок.
Кстати, а если лично вас заблокировать на всех сайтах - никто же ничего не потеряет?...

[Владимир Коротенко]

pddev, Не занимайтесь демагогией.
https://www.torproject.org/about/history/
Цели и задачи проекта описаны на этой странице

А вот на этой спонсоры этой движухи
https://www.torproject.org/about/sponsors/

И внезапно там 4 организации аффилированные с разведывательными структурами.

То что киберпреступники оценили эту технологию, не заставило долго ждать.

В результате имеем все что имеем. Причем эту сетку успешно контролируют куча организаций

[shurshur]

pddev, советую не реагировать, Владимир известный на этом сайте... сторонник понятно какой идеологии

[pddev]

Это бесплатный прокси, всегда работающий, которым может воспользоваться любой желающий. А предлагать его банить могут только владельцы платных или шпионящих за пользователями "бесплатных" VPN и аффилиированные с ними люди. Конкурентов бесплатных и Open Source устраняете исподтишка. А ещё он не нравится копир..ам, мечтающим закрыть трекеры и библиотеки.

[Владимир Коротенко]

shurshur, Расскажите мне какой, я пойду свои деньги получать.

[shurshur]

Владимир Коротенко, причём тут деньги? Люди даже с ума сходят абсолютно бесплатно.

Answer 3

[Владимир Коротенко]

Мне понравилась следующая система:

При регистрации пользователь заполняет телефон и его просят позвонить по номеру сервера
он звонит серверное по определяет номер, если номера совпадают до аккаунт регистрируется.

Вся прелесть в том что с виртуального номера звонок не сделаешь, а покупать 10 симок такое себе.

Comments

[Василий Банников]

У некоторых опсосов номер телефона можно сменить (или добавить ещё несколько виртуальных) за пару минут за очень небольшую сумму.

[Владимир Коротенко]

Василий Банников, Это стоит денег

[Василий Банников]

Владимир Коротенко, ну вот я пользуюсь тинькофф мобайлом - там вроде 1 виртуальный номер бесплатно даётся + его можно одной кнопкой заменить также бесплатно. Можно и звонить с него, и принимать звонки, и принимать смс.
Подключить одновременно два виртуальных номера как-будто бы нельзя.

[IvanRivan]

Василий Банников,

его можно одной кнопкой заменить также бесплатно

Бесплатно? А не 100 рублей разве?

[VolgaVolga]

покупать 10 симок такое себе

У многих больше одной сим-карты. Не говоря уже о том, чтобы одолжить у кого-нибудь на время.

[Василий Банников]

IvanRivan, у меня бесплатно написано, но можно и за 100р номер взять

[IvanRivan]

Василий Банников, а ты 24 часа назад первый виртуальный номер получил? Поддержка тинька говорит что у них для всех клиентов платно всегда было, только первый день можно бесплатно сменить и они от этой практики якобы отошли уже. Врут получается?

[Василий Банников]

IvanRivan, хз, может мне как сотруднику исключение)

[Василий Банников]

IvanRivan, нажал на виртуальный номер -> сменить -> бесплатные

[pddev]

Стартовые пакеты могут быть дешевле, чем помесячная плата.

[IvanRivan]

Василий Банников, а ты на номер нажми, там увидишь что номер бесплатно, а смена 99 рублей...

[Василий Банников]

IvanRivan, действительно, смена 99р

[Letopisec]

Василий Банников, я нашел сайт где номер покупается за 7 рублей и он выдается на 10 минут, можно через него регаться. Я короче попробовал на пикабу зарегать 10 акков, каждый раз при регистрации меняя страну в hola vpn, после 4 акка меня стало банить по причине мультиаккаунт, хотя каждый раз когда я регал аккаунт я менял страну в впн, и вообщем у меня получилось зарегать всего 4 аккаунта, я начал на них заходить и они тут же банились по причине мультиаккаунт, так я на три акка зашел, на четверный акк я попросил зайти друга, он зашел и бана не было, потом зашел я и тут же пермомент прилетел. Не могу разобраться как они понимают что я захожу даже через впн.

[Василий Банников]

Letopisec,
1. ip адреса публичных vpn и ip облачных провайдеров - широкоизвестны
2. То же самое с телефонами
3. Заходил ты через один браузер или нет? Если один - легко по фингерпринтингу могли распознать

Answer 4

[Константин]

Привязка учётной записи из известного авторитетного сервиса, например Госуслуги. На госуслугах можно ещё и верифицировать ФИО полностью.

Comments

[pddev]

Тогда зарубежные пользователи в пролёте.

[shurshur]

pddev, отечественные тоже в пролёте. Куча людей попросту откажется регистрироваться.

[Константин]

если пользователь использует другой браузер с другим ip, то выявить его на мультиак будет почти не реально.

Как вариант рекомендую автору поста пообщаться с разработчиками таких сервисов для защиты от скликивания, например clickfraud.ru.
и с разработчиками сервисов по отпечаткам, например fingerprint.com, вот эти люди вам подскажут точно возможно ли хоть как то выявить такого пользователя, но очень сомневаюсь, что вам что то предложат, вероятность почти нулевая.
Если что то и предложат, то у них как раз и закажите готовое решение в круглую сумму.

[Константин]

А так есть ещё поведенческие факторы, по которым можно достаточно точно соединить пользователей, ну там движения мышкой, скролинг, скорость набора текста, ошибки ввода текста, манера написания текста. Короче эта целая наука. ИИ не стоит на месте. По моему на хабре был пост на эту тему, не помню.
Вот с теми кто занимается такими разработками и надо общаться.
Яндекс метрика рисует движения мышкой, можете пообщаться с яндексом. Гуглу можете написать тоже за компанию. Но это уже другой уровень бюджета, тут уже целые технологии идут, тут возможно и ценник вам выставят кратно милионам рублей, если не десяткам милионов рублей/долларов.

По сути то, что вы хотите - это целый бизнес, это не просто взять и установить скрипт.

В итоге проще и дешевле заблокировать всякие торы и т.д.

[Константин]

Если человек захочет сделать мультиакк, то он сделает, если очень надо. Например использую виртуальную машину.
Это слишком дорого и геморно вычислять такого.

Ну если только не через ИИ с поведенческими факторами, о чём я писал выше. Т.е. это почти как отпечаток JS, только по поведению через ИИ. Короче это будущее :)
Т.е. если человек даже переехал в другую страну и начал работать с другого компьютера, то поведение работы с браузером, вводом текста останется таким же. И вот тут уже можно идентифицировать мульти акк.

[Константин]

Кстати как раз стало интересно, а проприетарные браузеры-гиганты уже применяют такую технологию как снятие патерна поведения.

Answer 5

[Vitaly Musin]

На хабре чувак писал как делал на Go бан за мультиакк, всё в деталях

Comments

[Константин]

ссылки не осталось?