Sziasztok,
Ötleteket keresek webes szolgáltatás regisztrációja megoldásához email felhasználása nélkül. El akarok játszani a gondolattal, hogy lehet-e és érdemes-e. User és pass lehet, csak email nem.
Cél, hogy kizárható legyen a felhasználó adott esetben (pl. spammel egy fórumot).
Azzal a gondolattal játszottam el, hogy lehetséges-e csinálni egy olyan webes szolgáltatást, ahol nem kérünk "kényelmetlen" regisztrációt, hanem azonnal használhatják a szolgáltatást a user-ek. Feltölthetnek infót.
Tartalmazna lehetőséget a rendszer arra is, hogy más felhasználók jelentsék a nem megengedett tevékenységet. Ehhez ugye tudnom kell technikailag azonosítani a kitiltandó user-t.
Tehát a cél a regisztráció kényelmetlensége nélküli használat akár anoním, mégis technikailag kitiltható módon. Erre nem találok egyelőre jó megoldást.
Köszi.
Hozzászólások
Lehetni lehet - mondjuk egy captcha-val nagyjából ki tudod védeni a robotokat.
De érdemesnek szerintem semmiképp nem érdemes. Jó ha van egy backup kommunikációs vonalad a user felé, ha más nem, arra az esetre, mikor elfelejti a jelszavát.
Kizárni viszont max. az account-ot tudod, az, embert mögüle soha. Annyi e-mail címmel regisztrál, amennyivel akar. Erre max. az sms token lehet hatásos megoldás (bár, van aki képes újabb és újabb feltöltőkártyás sim-eket is venni a cél érdekében :) )
----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
Meg aztán tudod, mikor adom meg a telefonszámom egy online szolgáltatáshoz. Az a szolgáltatás, amihez kell, számomra nem létezik.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Igen, pont a kényelem a célom.
off: a telefonszám miért érzékenyebb adat, mint az email cím? mindkettő spammelhető, és mindkettőt egyformán nehéz lecserélni
Talán mert e-mail címből tarthatsz kettőt, egyet amit használsz egyet meg azért h regisztrálj kisebb oldalakra... Telefonszámból viszont macerásabb többet tartani :)
> Telefonszámból viszont macerásabb többet tartani :)
Annyira azért nem. :)
E-mail címet bármikor csinálok ingyen, alkalmi céllal akár. Jelenleg van 9 címem, meg egy a localhost, így a mail kliensemben van 10 fiók. Ezzel szemben SIM-et pénzért tudok venni, annak a fenntartása is pénzbe kerül, szolgáltatóhoz kell ballagnom, vagy cserélgetem a SIM-et, vagy kell telefon is hozzá.
Ha kiadom a számomat, akkor az Isten sem óv meg attól, hogy spam-eljék. Eddig semmilyen reklámot nem kaptam a telefonomra, nem hívott fel porszívó ügynök, biztosítási ügynök, bankos hülye, csodaszert áruló spammer, szóval senki, akit nem ismerek.
Ahhoz elég ostobának kell lenni, hogy ugyanazzal a mailcímmel regisztráljon valaki online szolgáltatásra, mint amelyiket normális célokra, kapcsolattartásra tart valaki.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
En azert megadtam par helyre.
Pl netbank, paypal, de akar steam + battlenet is.
--
"You can hide a semi truck in 300 lines of code"
Lehet, hogy túl borús az idő, de nem értem. A kizárhatóságnak és az e-mailnek mi köze egymáshoz? Ha van e-mailes regisztráció, akkor is ki tudsz zárni bárkit, és akkor is, ha nincs. Ez a bárki újra tud regisztrálni másik e-mail címmel, vagy ha nincs e-mail, akkor másik user névvel.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Megmagyarázhattam volna a mögöttes célt, valóban.
Azzal a gondolattal játszottam el, hogy lehetséges-e csinálni egy olyan webes szolgáltatást, ahol nem kérünk "kényelmetlen" regisztrációt, hanem azonnal használhatják a szolgáltatást a user-ek. Feltölthetnek infót.
Tartalmazna lehetőséget a rendszer arra is, hogy más felhasználók jelentsék a nem megengedett tevékenységet. Ehhez ugye tudnom kell technikailag azonosítani a kitiltandó user-t.
Tehát a cél a regisztráció kényelmetlensége nélküli használat akár anoním, mégis technikailag kitiltható módon. Erre nem találok egyelőre jó megoldást.
Szerintem user, password kell, ahhoz meg regisztráció, mert ellenkező esetben nehezen tudom elképzelni az azonosíthatóságot. Lehet csak chapta, de akkor nem tudsz senkit bannolni.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
OAuth?
--
HUP Firefox extension
Kérj 1 Ft átutalását a megadott számlaszámra, generált azonosítóval.
De nyilván csak valami nagyon speciális webshop-mal lehet ennek értelme, ahol ez nem tántorítja el a vevőt.
A böngésző ujjlenyomat meg nem túl egyedi. Vagy mi lenne ha ez alapján mutatna egy captcha-t a rendszer?
Vagy böngésző ujjlenyomat + IP cím + user agent alapján azonosítanék? Az vajon elegendően egyedi-e?
Tudtommal nem küld a böngésző a HTTP kommunikáció során olyan egyedi azonosítót az operációs rendszerről, amely felhasználható lenne.
IP cím otthoni felhasználónak jellemzően dinamikus. Családon belül tipikusan NAT mögött vannak. A szolgáltatók a felhasználók egy részét NAT mögé teszik, szóval lehet, hogy az egész ház adott emelete egy IP cím.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Tudom, de akkor a böngésző ujjlenyomat és user agent meg elkülönül nagyobb eséllyel.
Tehát sok minden lehet azonos ezek közül, de a kombinációjuk vajon elég egyedi lesz-e? Esetleg még több HTTP header-ben utazó infót belekombinálni.
A dinamikus cím akkor is baj. A NAT-ra jó lenne, amit mondasz, de a megváltozott IP-re nem. Különösen, ha az a pikáns helyzet áll elő, hogy Béla tegnapi IP-jét a mai napon Klárika kapja, és mindketten igénybe veszik a szolgáltatásodat.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Igaz, a változó IP nem jó. Akkor az kizárva. Esetleg lehetne a reverse DNS-ének a fő domain-je. Vagyis a szolgáltató neve.
Béla korábbi címét Klárika nyilván ugyanabból a tartományból kapja, tehát ugyanattól a szolgáltatótól. Szóval ez sem segít. :)
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Ez nem Béla és Klári megkülönböztetésében segítene, hanem külső másik user esetében, ahol a user agent és browser fingerprint ugyanaz, csak a szolgáltató más. Tehát minél több az apró infó, annál nagyobb az esély az egyedi azonosításra.
Persze, csak épp azt mondom, rettentően félrevezet az IP cím. Semmit sem mond. Azonosság esetén is lehet különböző, valamint különbözőség esetén is lehet azonos az IP cím. Tehát egy olyan zaj ez az infó, ami cseppet sem visz közelebb a célodhoz, a kört szűkíteni sem tudod vele.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Dehogynem tudod szűkítani. A szolgáltató domain-je már plusz 1 infó.
1.
Béla - 1.2.3.4 valamikom.hu
Klári - 7.8.9.10 valamikom.hu
Később:
Béla - 11.12.13.14 valamikom.hu
Klári - 1.2.3.4 valamikom.hu
Itt Kláriról könnyű azt gondolni, hogy ő Béla.
2.
András - 1.2.3.4 valami.kom
Andrea - 1.2.3.4 valami.kom
Később:
András - 5.6.7.8 valami.kom
Andrea - 5.6.7.8 valami.kom
Ők meg NAT mögött vannak. Különböző identitásúak egyébként.
Nem változott a cím, akkor sem jobb, ha változott, az még ront is a helyzeten.
Az különösen jó, ha ezt a második esetet kombinálod az elsővel.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Nem érted. A valamikom.hu értékét dobom be az "entrópia pool"-ba. Eggyel több infó. És ez nem változik.
Ha persze másik szolgáltatótól (másik wifi) lép be, akkor onnét nem lesz kitiltva. Ennyi.
És mi van akkor, ha a user szolgáltatót vált, mert megelégelte a régi szolgáltatójának a hülyeségeit, vagy költözik?
Csak azt mondom, hogy amikor azt hiszed, ezen infókkal szűkíted a kört, bizonyos esetekben éppen tágítod. Ez zaj, nem információ. Tudom, hogy nem azt várod tőle, hogy egyértelműen azonosítsa a felhasználót, mert a sok halmaz metszeteként szeretnéd, hogy egy elemű halmazod maradjon. Az a bajom, hogy félre is vezethet ez az infó, ami nem ugyanaz, mint amit szeretnél, hogy ez a maszk vagy szűkítse a halmazt, vagy ne csináljon semmit, tehát érintetlenül hagyja azt.
Az IP cím és a domain név néha segíthet, más esetben ugyanazzal a domain-nel és címmel másik felhasználód lesz, de másik domainnel és címmel is lehet ugyanaz a felhasználód. Tehát semmivel sem vagy közelebb a célhoz.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Csak a hupot szoktam nézni:
W10+Edge
W10+Chrome
Ubuntu-Gnome+Chrome
Galaxy S5 Mini+Chrome
Galaxy Express LTE+Chrome
alól.
Akkor az 5 (vagy több) reg lehetőség?
- - - - - - - - - - -
"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol
Igen, akkor annyival több reg lehetőség lenne. De ez a szám kezelhető nagyságú.
A lényeg az lenne, hogy ha kitiltunk egy user-t, akkor adott forráson keresztül már ne jöhessen. Bár igaz hogy a user agent string meg akármi lehet. Viszont a user-ek nagy többsége nem fog hack-elni.
.....
és akkor letölti a TOR Browsert....
Igazad van, de átlag user nem teszi.
nem biztos, a tor-hoz ma már nem kell lenni "guru"-nak, egy kattintással letölti és telepíti a tor browser, aztán beírja a címsorába az oldalad címét.
Elfogadom hogy egyszerű, de az elterjedtségét megkérdőjelezem.
mióta pár hónapja az index is írt róla, valószínűleg nagyobb, mint gondolnánk.
legalábbis hallott róla, tud róla, stb.
Alapvetoen szerintem erdemes szetvalasztani a regisztracio es a verifikacio lepeset. A regisztracio azert kell, hogy valami ID-ja legyen a usernek. A verifikacio pedig azert, hogy a user tobbe-kevesbe hitelesen bizonyitsa, hogy o az akinek mondja magat (pl. egy e-mail cim tulajdonosa). A verifikacional az a celod, hogy a legitim usereknek csak minimalisan nehezitsd meg a dolgat, a rosszakaroknak (pl. spammereknek) viszont tul koltsegesse tedd a folyamatot ahhoz, hogy fenntarthato legyen. Par ev tapasztalata azt mondatja velem, hogy az e-mail verifikacio es captcha csak azok ellen a spammerek ellen fog vedeni valamelyest, akik nem teged targetalnak direktbe, hanem szonyegbombazasra mennek. Aki kifejezetten a Te forumodra / forum motorodra specializalodik, annak ez nem jelent akadalyt.
A evercookie jo lehet, de csak korlatozottan jelent visszatarto erot, hiszen manapsag a bongeszo privacy/porno modja eleg jol takaritja ezeket. A fingerprinting meglehetosen megbizhatatlan, mert egyreszt kliens oldalrol erkezik, tehat modosithato, masreszt magatol is modosul, ha a user valtoztat a konfiguraciojan.
Ezzel szemben az SMS-es ellenorzessel sokkal pozitivabbak a tapasztalatok, mert egy telefonszam beszerzese penzbe kerul, ezzel jelentosen megdragitva a folyamatot. Persze azt bele kell szamolni, hogy a user nem szivesen adja meg uton-utfelen a telefonszamat, szoval ez egyfajta visszatarto ero lehet a legitim usereknek. Eppen ezert szoktak csak bizonyos emelt szintu feladatokhoz kerni az SMS-es ellenorzest.
Ha ez nem tetszik, megnezheted a StackOverflow mukodeset, ahol bizonyos funkciok eleresehez le kell tenned valamit az asztalra, a kozosseg szamara hasznos tartalmat kell irnod. Ez ugye erosen fugg attol, hogy milyen tipusu az adott webes szolgaltatas/forum.
Az IP cim tiltast es hasonlo baromsagokat meg gyorsan el is felejtenem, hiszen a NAT, CGN, IPv6 erosen bekavar.
--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT
SMS nem jó, mert pont az email reg-nél még kényelmesebb és egyszerűbb módot keresek.
Ha talalsz, szolj. En meg nem talaltam.
Szerk: Az SMS az e-mailnel azert egyszerubb, mert a mobil keszulek altalaban mindig kezkozelben van, amig az e-mailre varni kell, meg kell nyitni a klienst, stb.
--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT
Én személy szerint utálom az ilyesmit, de facebook vagy google login?
+1, talan, en szeretem mert Google loginom van es 2 factoros, viszont kitiltani megint csak nem lehet ezzel senkit, ugyanis annyi google/facebook accot regelsz amennyit akarsz.
--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT
Meg ugye az volt az eredeti cél, hogy megkönnyítse a szolgáltatásához a hozzáférést. Akkor már inkább a regisztráció. A javaslatotokban még egy másik félhez is regisztrálni kell előbb, annak az adatvédelmi szabályzatát elolvasni, azzal egyetérteni - amivel egyébként épeszű ember nem érthet egyet.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
OK, de ennyi erovel username + jelszo. Csokolom. Social cuccok azoknak, akik nem szeretik a jelszavakat.
--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT
Igen, szerintem is a user + pass a legjobb, legkényelmesebb megoldás.
tr '[:lower:]' '[:upper:]' <<<locsemegeLOCSEMEGE
Nem gyorsabb google/facebook accountot csinálni mint e-mail címet. Ellenben a "tipikus" az hogy legalább az egyik már van a usernek, és ebben az esetben kényelmesebb is egy SSO-t átkattintani mint az e-mail címet megerősíteni. (Szóval szerintem javul egy ilyen megoldással az arány a trollkodáshoz szükséges munka és a nemtrolkodók felesleges akadályozása között)
Figy, ralatok par eleg nagy forgalmu projektre, hidd el nekem, hogy ez egyaltalan nem akadaly. Ha meg akarod allitani a felkomoly probalkozokat, az SMS-es validacio a minimum. Ez a profi csalokat tovabbra sem rettenti el, oda meg komolyabb eszkozoket kell tenni, pl. human account ellenorzes, es meg akkor sem biztos hogy megfogod.
--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT
Tökéletesen hiszek neked, azért vetettem fel, mert a kiinduló pont az volt hogy legalább olyan azonosítást adjon mint az e-mail, de legyen kényelmesebb. Ezt szerintem a social login megteszi, az pedig egy másik - kapcsolódó - téma hogy maga az e-mail sem ad megfelelő azonosítást.
Vállalati bejelentkezésnél nálunk regisztrációhoz mindenképpen személyes megjelenés van, elfelejtett jelszó esetén pedig SMS + élő emberes telefonhívás (vagy személyes megjelenés).
hidd el nekem, hogy ez egyaltalan nem akadaly.
mondj errol tobbet
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)
Vannak trükkök:
http://samy.pl/evercookie/
De 100% biztos sosem leszel egy kitiltásban. (A privát böngészés pl. firefoxban az összeset kinyírja, nagyon helyesen)
Ez kb. jó megoldás lehet a kérdésemre. Köszi!
Nem az, lasd fentebb.
--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT
Az átlag felhasználók dolgát esetleg nehezíted vele, de aki garázdálkodni akar különösebb erőfeszítés nélkül meg tudja kerülni.
Szerintem az "egyszerűbb" regisztrációért cserébe jelentősen bonyolítod a dolgokat.
Egyet értek azzal amit janoszen írt. Egyszerűbb esetben email azonosítás, ha szükséges sms.
Mindkettő elterjed és ismert módszer, nem hiszem, hogy gondot jelentene a felhasználóknak. Akinek meg mégis, azzal nem tudsz mit kezdeni (PEBKAC)
------
Λ4И∤)4
Itt a kérdést egy vizsgálat miatt tettem fel, hogy vajon bizonyos esetekben a szolgáltatás azonnali elkezdésének lehetősége emailes regisztráció nélkül vonzóbb lehet-e az átlag user-nek vagy sem.
Ha nincs reg, akkor nem nehezítem a dolgukat, hanem könnyítem. Persze további feltételek kellene, pl: 1 user más user-eket csak max n-szer jelölhet meg károsnak, illetve a kizárás csak t időre szól stb.
Van-e létjogosultsága ennek bizonyos esetekben? Pl. ha ez olyan szolgáltatás, ahol publikus infót lehet megosztani bizonyos témában? Tehát egy publikus homokozó. Nincs szükség arra, hogy ne legyen mindenki anoním. Csak arra, hogy a "káros" (definiálandó) user-eket ki lehessen zárni. Erre van-e jobb ötlet?
Igen, sok szolgaltatas mukodik igy, pl a Twitter is. Megcsinalod a regisztraciot, majd kesobb (bizonyos idon belul) a verifikaciot.
Egyebkent sztem nem erdemes ujra feltalalni a kereket, mert eleg jo az esely, hogy elbaltazod. Valszeg nincs akkora forgalmad, hogy ertelmesen merni tudd, hany user esik hasra a megoldasaidon. Nezd meg mit csinalnak masok, eleg jo az esely arra, hogy nem Te fogod kitalalni a tutit. A fentebb leirtak (+ social login) a jelenlegi best practiceket tartalmazzak es mar igy is eleg maceras jol, user friendly modon implementalni, nem kell bonyolitani. Legalabb fontold meg.
--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT
Persze a reg-es téma működik és jó. A kérdésem az volt hogy az nélkül vajon tud-e jó lenni. Szerinted nem. Egyelőre én sem látok nagyon tuti, több szempontból is jó alternatívát.
Plusz aki ezt kitalálta, nagyon megérdemelne egy tökönrúgást.
Ezt a netes reklámrendszerek réges régen használják, a linkelt oldal fejlesztője is jelentős részben azok működésének tanulmányozásával hozta össze a dolgot.
(Kissé cinikusan mondhatnám hogy google találmány)
Meg is érdemelnének a netes reklámrendszerek létrehozói egy-egy tökönrúgást. ;)
Esetleg (nem ismerve a célközönséget) valamilyen meglévő kifejezetten erre alkalmas login metódust/metódusokat támogatni? OpenID, Face, Twitter, G+ login... stb...
Azzal loginolva meglesz a regisztráció, esetleg át lehet emelni az adatokat saját rendszerhez, vagy használni mindenkit azzal amivel odajött...
- - - - - - - - - - -
"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol
+1
--
regisztralhatsz facebook, linkedin, google+, etc acc-okkal is, igy nem kell email cimmel bajlodnod...
--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)