$_server["remote_addr"] ...

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • $_server["remote_addr"] ...

    Guten Abend,

    ich habe mir die letzten Tage ein Eigenes Ranking-System erstellt, bei dem Besucher für bestimmte Artikel voten können. Ein Besucher soll aber nur 1 mal alle 24 Stunden eine Stimme abgeben dürfen.
    Deswegen habe ich mit $_SERVER["REMOTE_ADDR"] die IP des Users für 24 Stunden gespeichert.
    Nun kann der Besucher aber einfach eine Proxy-IP nutzen und mehrmals eine Stimme abgeben.
    Auf anderen Ranking-Systemen habe ich gesehen, dass man trotz Proxy-IP trotzdem nur 1 mal voten kann. Fragen diese Seiten dann noch irgendwas anderes ab, bzw. gibt es da noch einen anderen Befehl, wodurch der Besucher eindeutig identifiziert werden kann?

    Vielen Dank und viele Grüße

  • #2
    Nein, das geht nicht!
    Selbst die IP ist nicht eindeutig. Bei deiner Methode darf nur ein User hinter einem NAT Router voten.
    Besser ist die Verwendung von Cookies. Aber auch leicht auszuhebeln.

    Einzig (halbwegs) sichere Methode: Verberge das Voting hinter einem Login.
    Wir werden alle sterben

    Kommentar


    • #3
      Hallo,

      also ich habe schon einige Ranking-Systeme gesehen, bei denen ich trotz IP-Wechsel (kostenpflichtiger Premium-Proxy-Server) + Cookies gelöscht + Browserwechsel trotzdem nur einmal alle 24 Stunden voten konnte und zwar ohne Login-System, sondern als ganz normaler Besucher...
      Also müssen diese Seiten ja noch irgendwas anderes abfragen können. Das würde mich mal interessieren, weil ich sowas dringend für mein Ranking-System bräuchte.

      LG

      Kommentar


      • #4
        Zitat von ImmerOn Beitrag anzeigen
        also ich habe schon einige Ranking-Systeme gesehen, bei denen ich trotz IP-Wechsel (kostenpflichtiger Premium-Proxy-Server) + Cookies gelöscht + Browserwechsel trotzdem nur einmal alle 24 Stunden voten konnte und zwar ohne Login-System, sondern als ganz normaler Besucher...
        Wenn das wirklich stimmen sollte, dann hätten die echt was auf dem Kasten, es sei denn, du hast es versucht, IP geändert, versucht, Cookies gelöscht, versucht, Browser gewechselt. Dann wäre es gar nicht so verwunderlich, aber alles gleichzeitig und dann den Besucher noch erkennen kann ich mir kaum vorstellen.

        Und du bist sicher, dass sie dich nicht über einen Drittanbietercookie verfolgt haben können oder dass du da noch bei Facebook, Google Plus oder sonstigem angemeldet warst? Kurz: Hast du alle Cookies gelöscht bzw. Private Browsing aktiviert oder nur die Cookies genau dieser Domain?

        Falls ja, erlaubst du deinem Browser, Standort-Informationen weiterzugeben?
        [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
        Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
        Super, danke!
        [/COLOR]

        Kommentar


        • #5
          So ziemlich das einzige, was einen Browserwechsel als Identifikationsmerkmal „überlebt“, ist ein Flash-Cookie – da alle Browser auf einem System sich den Flash-Player schließlich „teilen“.
          I don't believe in rebirth. Actually, I never did in my whole lives.

          Kommentar


          • #6
            Eine weitere Möglichkeit wäre über Java zu realisieren.
            Java bietet Methoden um auf die Eigenschaften einer Netzwerkkarte zu zu greifen, auf diese Weise kann man die MAC-Adresse der Netzwerkkarte auslesen, welche bei jedem IP-Wechsel durch den Internetprovider gleich bleibt.

            Damit diese Möglichkeit jedoch nutzbar ist, muss der Anwender die Ausführung des Applets natürlich zustimmen!

            Aber auch diese Art der Identifizierung kann man umgehen, indem man einfach die MAC-Addy seiner Netzwerkkarte ändert

            Hinweis für den TE:

            Java ist nicht JavaScript!

            Kommentar


            • #7
              @wahsaga
              Dann könnten die immer mehr werdenden User mit mobilen Devices nicht voten.

              Wie von combie schon erwähnt, kommst du eigentlich nur mit einem Login halbwegs dahin, wo du hin willst. Das halbwegs in Klammern dürfte dabei ein Fingerzeig Richtung Mehrfach-Account-Problematik sein. Allerdings ist es mühseliger sich mehrere Accounts zuzulegen, als mal eben ein Cookie zu löschen.
              Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
              Schön - etwas Geschichte kann ja nicht schaden.
              Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

              Kommentar


              • #8
                Hi,

                ich habe das bei Browsergame-Ranglisten getestet. Der User kommt von der Browsergame-Seite zur Rangliste, also das einzigste was mitgeliefert werden kann, ist die URL von wo er kommt.
                Und ja ich habe IP gewechselt (bei GoogleMaps wurde mir dann sogar ein anderer Standort angezeigt), alle Cookies und sonstige Verläufe des Browsers gelöscht, sogar einen anderen Browser benutzt und trotzdem keine Chance mehrfach zu voten. Das mit der Mac-Adresse habe ich schonmal irgwo gelesen. Sicher dass man da als Anwender dann erst zustimmen muss? Weil sowas kommt bei diesen Ranglisten nicht...
                Und klar dass die was aufm Kasten haben, das sind auch nur die Ranglistenseiten mit einem TOP Pagerank, also die auch richtig Geld damit verdienen. Also irgendwas fragen die auf jedenfall ab, was nicht so einfach änderbar ist...
                Hier mal ein Link zu so einer Rangliste:
                Browsergames Portal GamesSphere - Online-Games für den Browser

                LG

                Kommentar


                • #9
                  Zitat von ImmerOn Beitrag anzeigen
                  ... Das mit der Mac-Adresse habe ich schonmal irgwo gelesen. Sicher dass man da als Anwender dann erst zustimmen muss? Weil sowas kommt bei diesen Ranglisten nicht ...
                  Ja da bin ich mir sehr sicher in dieser Hinsicht, da Java ja auf die Hardware zugreifen muss um die MAC-Adresse auslesen zu können. Solche Aktionen sind nur dann zulässig, wenn der Benutzer der Ausführung des Applets auch expliziet zugestimmt hat.

                  Wenn das bei der Rangliste nicht vorkommt, dann nutzen die sicherlich andere Techniken.

                  Kommentar


                  • #10
                    Es gibt eine ganze Reihe weiterer Möglichkeiten, User wieder zu erkennen. Ein Stichwort wäre "Evercookie".
                    Ihr habt ein Torturial durchgearbeitet, das auf den mysql_-Funktionen aufbaut?
                    Schön - etwas Geschichte kann ja nicht schaden.
                    Aber jetzt seht euch bitte php.net/pdo oder php.net/mysqli bevor ihr beginnt!

                    Kommentar

                    Lädt...
                    X