Как банить посетителей в эпоху VPN?

Question

[Barry Allen]

Ранее банил недоброжелателей исключительно по IP. Но сейчас кажется это не очень актуальным, так как всё больше юзеров используют VPN с одинаковыми IP.
На сайте нет регистрации, что усложняет этот процесс.
(бан нужен для комментариев, фидбэка и вопросов/ответов).
Как вы баните? Есть ли смысл банить используя куки (хотя бы на время)? Или всё таки банить по IP лучше всего, и забить на VPN? Что думаете по этому поводу?
Заранее спасибо!

Answer 1

[Xapu3ma]

Кидаю скрипт в канвасе, который считает hmac + уник.данные с клиента. На выходе уник.ид. для пользователя,который не подделаешь. По нему и банить. Но этот тот еще мопед =)

Comments

[Jorik_Wa]

1) hmac от чего?

2) какие именно уникальные данные?

[doublench21]

Jorik_Wa,
https://geektimes.ru/post/284604/
https://habrahabr.ru/company/oleg-bunin/blog/321294/

Answer 2

[sunblossom]

Почитайте про audio fingerprint ( https://audiofingerprint.openwpm.com/ ). Мало кто даже знает про это, не говоря уже про то, что мало кто в состоянии этот слепок обманывать, чтобы он был разным.
Ещё можно получать реальный IP через WebRTC.

Comments

[Алексей Ярков]

Ещё можно получать реальный IP через WebRTC

Можно с этого места подробнее? =)

[sunblossom]

Алексей Ярков, можно. Например, вот: https://habrahabr.ru/post/215071/
Вот неплохой сайт, который может пробить реальный IP через WebRTC: https://whoer.net/ru
Замыкать WebRTC можно по-разному, но самый простой способ - поставить в Мозиллу расширение "Hide local IP addresses from WebRTC content". Можно и через брэндмауэр, но это сложно и долго.

[Barry Allen]

sunblossom, попробывал audio fingerprint на локальном сервере, вроде отличная штука, минимум кода (не считая самого скрипта)), наверное именно этот метод и буду использовать. Спасибо!
Если вы его используете, как храните полученный хэш? в обычном VARCHAR или TINYTEXT?

[sunblossom]

Barry Allen, NVARCHAR (в MS SQL).

[Barry Allen]

sunblossom, ясно, спасибо)

[profesor08]

Я просто открыл в разных браузерах и слепок оказался разным. Полагаю этого явно недостаточно, чтоб точно определять пользователей.

[sunblossom]

profesor08, одного слепка - да. Лучший подход - комбинация двух-трёх способов.

Answer 3

[Юрий Ефремочкин]

Evercookie. Ранее для таких задач было популярным решение Evercookie (github, статья 1, статья 2). Это решение и на данный момент используется на различных проектах, над которыми я работал. Если кратко, это «стойкие cookie», которые сохраняются множеством различных способов, и которые сложнее очистить. В прошлом это решение позволяло получать значение таких cookie даже работая в разных браузерах или даже после переустановки браузера.

Для борьбы с Evercookie, существуют например приложения, которые умеют чистить такие «стойкие cookie» (предполагаю, что Bleachbit одно из таких приложений).

Fingerprint. Другие более современные решения, которые можно использовать отдельно и совместно c Evercookie — это Anonymous browser Fingerprint, которые уже указали здесь ранее. Они работают на основе отпечатков браузера/ОС/девайса и т. п. Статья по теме. Одной из популярных библиотек является Valve/fingerprintjs2.

Для борьбы с Fingerprint клиентские приложения научились предотвращать автоматическое считывание Fingerprint, уведомлять о таких попытках пользователей и даже делать подсказки пользователям, как работать в интернете, чтобы оставаться анонимным и Fingerprint невозможно было получить. Ещё одну проблему с этим решением можно почувствовать на мобильных устройствах, среди которых возможны нередкие совпадения отпечатков, но тут спасает сочетание различных техник.

И дополнительно можно почитать про определение локальных IP-адресов через WebRTC.

Comments

[Александр Таратин]

Evercookie года 2-3 уже не работают. Стандартная очистка в браузере убирает их все (по крайней мере в хроме точно).

[Юрий Ефремочкин]

Александр Таратин, да, действительно Evercookie уже не так помогает как когда-то. Десктопные и мобильные Chrome/Safari и некоторые другие браузеры научились хорошо чистить всё, в том числе и все данные Evercookie. Но это происходит только при полной очистке, либо при использовании режима инкогнито. А при частичной очистке в браузере часть данных остаётся и это поможет. Не всем пользователям удобно делать полную очистку, и не все могут об этом знать и всегда помнить. В некоторых других браузерах (например FF ) очистка не полностью удаляет данные Evercookie. Сейчас для систем блокировок доступа Evercookie можно использовать только в дополнение к другим техникам.

Answer 4

[abrwalk]

https://browserleaks.com/canvas
https://browserleaks.com/webgl
https://browserleaks.com/webrtc
https://browserleaks.com/fonts
https://audiofingerprint.openwpm.com/
lcamtuf.coredump.cx/p0f3
если хочешь разобраться

https://github.com/Valve/fingerprintjs2
если нужно рабочее решение

Answer 5

[LiberBear]

Составить список диапазонов ип популярных хостингов
Забанить их
Двач like