Задать вопрос
B-Allen
@B-Allen
webmaster

Как банить посетителей в эпоху VPN?

Ранее банил недоброжелателей исключительно по IP. Но сейчас кажется это не очень актуальным, так как всё больше юзеров используют VPN с одинаковыми IP.
На сайте нет регистрации, что усложняет этот процесс.
(бан нужен для комментариев, фидбэка и вопросов/ответов).
Как вы баните? Есть ли смысл банить используя куки (хотя бы на время)? Или всё таки банить по IP лучше всего, и забить на VPN? Что думаете по этому поводу?
Заранее спасибо!
  • Вопрос задан
  • 6558 просмотров
Подписаться 35 Простой Комментировать
Решения вопроса 4
Xapu3ma-NN
@Xapu3ma-NN
Кидаю скрипт в канвасе, который считает hmac + уник.данные с клиента. На выходе уник.ид. для пользователя,который не подделаешь. По нему и банить. Но этот тот еще мопед =)
Ответ написан
@sunblossom
Почитайте про audio fingerprint ( https://audiofingerprint.openwpm.com/ ). Мало кто даже знает про это, не говоря уже про то, что мало кто в состоянии этот слепок обманывать, чтобы он был разным.
Ещё можно получать реальный IP через WebRTC.
Ответ написан
Evercookie. Ранее для таких задач было популярным решение Evercookie (github, статья 1, статья 2). Это решение и на данный момент используется на различных проектах, над которыми я работал. Если кратко, это «стойкие cookie», которые сохраняются множеством различных способов, и которые сложнее очистить. В прошлом это решение позволяло получать значение таких cookie даже работая в разных браузерах или даже после переустановки браузера.

Для борьбы с Evercookie, существуют например приложения, которые умеют чистить такие «стойкие cookie» (предполагаю, что Bleachbit одно из таких приложений).

Fingerprint. Другие более современные решения, которые можно использовать отдельно и совместно c Evercookie — это Anonymous browser Fingerprint, которые уже указали здесь ранее. Они работают на основе отпечатков браузера/ОС/девайса и т. п. Статья по теме. Одной из популярных библиотек является Valve/fingerprintjs2.

Для борьбы с Fingerprint клиентские приложения научились предотвращать автоматическое считывание Fingerprint, уведомлять о таких попытках пользователей и даже делать подсказки пользователям, как работать в интернете, чтобы оставаться анонимным и Fingerprint невозможно было получить. Ещё одну проблему с этим решением можно почувствовать на мобильных устройствах, среди которых возможны нередкие совпадения отпечатков, но тут спасает сочетание различных техник.

И дополнительно можно почитать про определение локальных IP-адресов через WebRTC.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
LiberBear
@LiberBear
Студент
Составить список диапазонов ип популярных хостингов
Забанить их
Двач like
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы