到目前为止我所拥有的:
- 服务器端的会话
- Request.ServerVariables("HTTP_USER_AGENT") & REMOTE_HOST创建并保存在数据库中的计算机的唯一 ID (md5)
但在这种情况下我还能做什么?用户继续分享他们的登录详细信息:(
4987 次
9 回答
4
这几乎是所有工作中的问题:从软件,人们可以简单地复制程序,到简单的票务,以及让个人走过票务台。(我在售票岗位工作,我们确实有人不付钱就走进去。)这主要是一个社会问题,而不是计算问题,我的经验是,试图用计算机解决社会问题(人)在很大程度上是徒劳的。这是我在这个话题上听到的一个高潮,这些建议往往分为两类:
尝试控制问题。
尝试以某种方式识别和控制系统的不道德用户。这可以是软件的 DRM,也可以是票务台示例中的保安人员。这基本上就是你现在正在尝试的。
我看到您当前方法的一个问题是它不支持多个浏览器。我经常从多个浏览器和多个网站浏览。如果这是您识别服务被盗的方法,您确定没有看到误报吗?
如果您确实尝试控制问题,我听说的最好的事情是确保您不会影响合法使用系统的用户。通过让合法用户在他的机器上安装 DRM 软件或要求他脱鞋上飞机给合法用户造成痛苦,只会给他带来麻烦并降低他眼中的服务质量。尝试在不影响正常人群的情况下找到识别麻烦用户的方法:选择将 IP 地址列入黑名单(禁止)在 Web 服务的情况下可能是有效的。(维基百科以这种方式控制垃圾邮件发送者和恶意编辑,有些人以这种方式控制垃圾邮件。)
现在,另一条推理:
忽略问题。
这源于“不妨碍用户”的理想。为用户提供尽可能好的服务,并为他提供高质量的服务,他不会介意与他的现金分开。换句话说,让它物有所值。当然,这取决于有足够多的人诚实,你仍然可以盈利。一些人争辩说,那些窃取服务的人通常无论如何都不会为此付费。
实际上,两者的某种混合可能是最有效的措施。
于 2010-12-28T09:34:08.593 回答
2
第二个不起作用。我从至少五个不同的设备登录。您绝对不想将自己与客户的硬件和软件升级周期联系起来
于 2010-12-28T09:23:06.673 回答
2
我阻止用户共享帐户信息的方法是阻止从一个位置进行多次登录。因此,如果用户登录,它将注销所有其他会话。
这相对容易做到。与数据库中的每个用户关联一个字段,如登录时随机生成的 session_key。将该 session_key 存储在数据库和用户浏览器的 cookie 中,并检查会话密钥是否匹配。如果没有,请注销用户。每当其他人登录时,它都会生成一个新的会话密钥,从而停用所有以前的会话并注销用户。您还可以尝试跟踪与会话相关的其他信息,例如用户 IP 地址等。它不是 100% 万无一失的,但它可以防止大多数用户共享帐户。
于 2011-01-26T06:07:38.760 回答
2
每次尝试登录时,获取用户的手机号码并使用一次性密码发送短信。电子邮件不起作用,因为它太容易分享了。但是你可以看到你的用户数量大大减少:这件事真的很烦人。
于 2010-12-28T12:53:17.133 回答
1
在数据库表中记录 IP 地址、时间和用户名。检查数据库中是否有来自站点上多个 IP 的活动用户,并禁止这些用户。
或者,如果服务器上已有该用户的会话,则阻止用户登录帐户。
于 2010-12-28T09:25:53.740 回答
0
没有办法阻止这种情况。你只能让它变得更加困难 - 但你应该考虑不利的一面:合法用户陷入交火。如果我是你,我会简单地解决问题的根源——你不希望人们共享登录信息的原因——然后解决这个问题。鼓励不要这样做。消除这样做的好处。
于 2010-12-28T09:31:44.173 回答
0
阻止用户共享某些内容的唯一方法是使该内容不可共享(至少不会通过一些严重的黑客攻击)。但这涉及可能不适合您的项目的硬件。我说的是硬件加密代币,它持有私钥并且不让任何人复制它们。如果你给你的用户这样的带有私钥的令牌,用户可以将令牌本身传递给其他人,但他不能复制它。
于 2010-12-28T10:46:11.050 回答
0
现在我认为这是几个因素的组合,如果不是所有的都可以的话
降低订阅成本
防止同时进行多个会话
使用两因素身份验证
如果应用程序禁用屏幕截图...在单个页面上制作太多内容以使某人向下滚动屏幕截图令人厌烦..如果可能,禁用屏幕录制...关闭不授予任何权限
我认为考虑指纹扫描和面部识别与设备 ID 携手并进是可行的
最后考虑在基于 webview 的应用程序中为 android 用户加载您的网站
于 2020-10-07T21:19:17.687 回答
0
这很简单。在注册过程中使用 10 到 15 个最喜欢的问题及其答案。在每次登录期间随机询问其中一个。
于 2016-02-17T06:42:59.263 回答