Как можно индентифицировать пользователя на сайте?

Question

[En1ken]

Здравствуйте.
Собственно такая вот задача. На один из наших проектов повадился очень нехороший человек который приносит массу проблемм, если быть точнее на сайте онлайн магазина блокирует все счета что выдаются в заказах, конкретнее qiwi счета.
Так вот хотелось бы узнать КАК на нем можно поставить определенную метку чтобы мы могли сразу знать что это он когда будет заходить на сайт, сразу скажу, он использует 4 различных браузера, чистит кеш и куки, так же иногда использует tor браузер, но у него включена поддержка javascript в браузерах.
Сам сайт написан на php^ но к сожалению опыт не позволяет реализовать какое либо решение для защиты от таких людей, он использует прокси анонимайзеры для сокрытия реального ip адресса.
Надеюсь тут есть специалисты которые смогут помочь, даже готов на финансовой основе так как он уже принес много хлопот!

Answer 1

[Inter Plotnik]

Прочитайте про Evercookie

Answer 2

[Александр Аксентьев]

что значит блокирует счета?

TOR можно с помощью php зареверсить и узнать его наличие.
В остальном против лома не приёма.

Забанить все известные IP адреса, вот и всё.

Comments

[En1ken]

Банить все ip не вариант ибо ему ничто не мешает перезайти с другог ip. Счета блочит методом жалобы в киви, а он не разбираются, сначало блочат и только потом задают вопросы.

[Александр Аксентьев]

En1ken: В остальном против лома не приёма.
К сожалению технически вариантов нет.

Можно только отдельно детектить тор и банить адреса.
От остальных проксей в прочем это не спасет.

[En1ken]

Александр, ну а если исключить tor из списка то как можно еще? Я сомневаюсь что нету безвыходного решения, вопрос просто в цене

[Александр Аксентьев]

En1ken: без тора остаются прокси обычные на любой вкус.

Их тысячи. Узнать что это прокси достоверно нельзя.
Можно отсечь какой-то процент прозрачных проксь.
Но не все.

Надо изучать что всё таки используется тор или прокси.
Если прокси смотреть какого вида.
И прокси ли это вообще или динамический адрес просто.

Если динамический банить подсеть.
Если прокси вычислять прозрачные, остальные проверять по ГЕО например.

Так по чуть-чуть варианты отсеиваются.

Искать общие параметры - браузер, экран, еще что-то.
Записать сценарий, посмотреть в вебвизоре.
Проработать этот сценарий и вычислять что человек добавляет в корзину определенный товар и через 5 секунд бежит оплачивать.
Так не бывает. Соответственно это можно выследить и послать его или сделать какую-то защиту от этого.

Не думаю что там сидит великий аноним и хакер.
Скорее всего даже проксей нет, а просто "модем перевоткнул".
Так что можно легко вычислить по браузеру: https://github.com/Valve/fingerprintjs2

[En1ken]

Александр, вы правы, он не великий аноним и хакер, когда я сам занимаюсь заявками я его быстро вычисляю, но очень часто меня нет за компом, у нас автоматический онлайн обменник электронных валют, и хотелось бы чтобы как то его пометить на уровне компьютера чтобы в дальнейшем дажи при первом за сегодня заходе наша система понимала что это он и есть.

[Александр Аксентьев]

En1ken: ну собственно все возможные варианты я описал.
Больше уже некуда копать.

Я думаю стоит попробовать по ссылке библиотеку в таком случае.
У меня есть небольшое готовое решение с этой библиотекой.
Можно попробовать вычислить его если хотите.
Точнее поймать его разок, а дальше пытаться автоматически это делать и принимать какие-то меры.

sanasol2008 скуп
https://telegram.me/Sanasol

Answer 3

[Олег]

Нужно не на нем, а смотреть, как вообще возможно получить доступ к обработке счетов из вне.
Смотрите логи. куда он обращается.
Если интересно, контакты в профиле.

Answer 4

[AdrianBlair]

Насчет Tor и VPN здесь безвыходная ситуация, можно только уведомить пользователя о ограниченном функционале действий(Если это Tor - определить браузер по пользовательском агенте, в случае с VPN нужен список всех известных портов)... А вот обычных пользователей можна отправлять на другую страницу. Пример пользователь, который введет "не санкционированные действия" зашёл на сайт example.com, в начале Вы проверяете его "на вшивость" (ищете IP в своем списке) если есть совпадение отправляете на сайт google.com, если нет пользователь продолжает работать с сайтом. Поищите blacklist для вашей CMS. В любой из ситуации Вы потеряете кучу потенциальных клиентов, так как некоторые провайдеры не выделяют каждому пользователю свой уникальный IP или же малый процент ваших нынешних клиентов уже давным-давно используют VPN и браузер Tor.

Comments

[En1ken]

CMS самописная, обычными методами php ничего не добится, слышал что то про неубиваемые куки и флеш куки которые можно записать 1 раз и дергать их постоянно но мне это не по зубам(

[AdrianBlair]

Все кэши стираются, да и к записи куков можно не дать доступ. Насчет flash-cookie, да такая возможность есть, но опять же нужен веб-елемент, зависимый от Adobe Flash Player(к примеру промо-слайдер), и чтобы сам пользователь разрешил его запуск. Григорий Byrger предложил вариант c "Evercookie", но скорее всего он не заметил, что он не использует javascript.

[AdrianBlair]

En1ken, было бы хорошо, если бы Вы "раскрыли все карты" и показали всем тостерам ваш веб-сайт...

Answer 5

[Dimonchik]

En1ken , только честно, вас уже напарили с биткоином или еще чем-нибудь?

если ты не можешь сделать обязательным для идентификации e-mail - телефон, как вы вообще работаете?

Comments

[AdrianBlair]

dimonchik2013, "обязательным для идентификации e-mail - телефон" - никому не секрет, что в интернете есть достаточно много временных ел. адресов и виртуальных номеров...

[Dimonchik]

AdrianBlair: ага, попробуйте на FB или Гугле )) окажется, что не так много, а те, что есть - уже в базах )