Regisztráció email nélkül?

Sziasztok,

Ötleteket keresek webes szolgáltatás regisztrációja megoldásához email felhasználása nélkül. El akarok játszani a gondolattal, hogy lehet-e és érdemes-e. User és pass lehet, csak email nem.

Cél, hogy kizárható legyen a felhasználó adott esetben (pl. spammel egy fórumot).

Azzal a gondolattal játszottam el, hogy lehetséges-e csinálni egy olyan webes szolgáltatást, ahol nem kérünk "kényelmetlen" regisztrációt, hanem azonnal használhatják a szolgáltatást a user-ek. Feltölthetnek infót.

Tartalmazna lehetőséget a rendszer arra is, hogy más felhasználók jelentsék a nem megengedett tevékenységet. Ehhez ugye tudnom kell technikailag azonosítani a kitiltandó user-t.

Tehát a cél a regisztráció kényelmetlensége nélküli használat akár anoním, mégis technikailag kitiltható módon. Erre nem találok egyelőre jó megoldást.

Köszi.

Hozzászólások

Lehetni lehet - mondjuk egy captcha-val nagyjából ki tudod védeni a robotokat.
De érdemesnek szerintem semmiképp nem érdemes. Jó ha van egy backup kommunikációs vonalad a user felé, ha más nem, arra az esetre, mikor elfelejti a jelszavát.
Kizárni viszont max. az account-ot tudod, az, embert mögüle soha. Annyi e-mail címmel regisztrál, amennyivel akar. Erre max. az sms token lehet hatásos megoldás (bár, van aki képes újabb és újabb feltöltőkártyás sim-eket is venni a cél érdekében :) )

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

E-mail címet bármikor csinálok ingyen, alkalmi céllal akár. Jelenleg van 9 címem, meg egy a localhost, így a mail kliensemben van 10 fiók. Ezzel szemben SIM-et pénzért tudok venni, annak a fenntartása is pénzbe kerül, szolgáltatóhoz kell ballagnom, vagy cserélgetem a SIM-et, vagy kell telefon is hozzá.

Ha kiadom a számomat, akkor az Isten sem óv meg attól, hogy spam-eljék. Eddig semmilyen reklámot nem kaptam a telefonomra, nem hívott fel porszívó ügynök, biztosítási ügynök, bankos hülye, csodaszert áruló spammer, szóval senki, akit nem ismerek.

Ahhoz elég ostobának kell lenni, hogy ugyanazzal a mailcímmel regisztráljon valaki online szolgáltatásra, mint amelyiket normális célokra, kapcsolattartásra tart valaki.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Lehet, hogy túl borús az idő, de nem értem. A kizárhatóságnak és az e-mailnek mi köze egymáshoz? Ha van e-mailes regisztráció, akkor is ki tudsz zárni bárkit, és akkor is, ha nincs. Ez a bárki újra tud regisztrálni másik e-mail címmel, vagy ha nincs e-mail, akkor másik user névvel.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Megmagyarázhattam volna a mögöttes célt, valóban.

Azzal a gondolattal játszottam el, hogy lehetséges-e csinálni egy olyan webes szolgáltatást, ahol nem kérünk "kényelmetlen" regisztrációt, hanem azonnal használhatják a szolgáltatást a user-ek. Feltölthetnek infót.

Tartalmazna lehetőséget a rendszer arra is, hogy más felhasználók jelentsék a nem megengedett tevékenységet. Ehhez ugye tudnom kell technikailag azonosítani a kitiltandó user-t.

Tehát a cél a regisztráció kényelmetlensége nélküli használat akár anoním, mégis technikailag kitiltható módon. Erre nem találok egyelőre jó megoldást.

Kérj 1 Ft átutalását a megadott számlaszámra, generált azonosítóval.
De nyilván csak valami nagyon speciális webshop-mal lehet ennek értelme, ahol ez nem tántorítja el a vevőt.

A böngésző ujjlenyomat meg nem túl egyedi. Vagy mi lenne ha ez alapján mutatna egy captcha-t a rendszer?

Vagy böngésző ujjlenyomat + IP cím + user agent alapján azonosítanék? Az vajon elegendően egyedi-e?

Tudtommal nem küld a böngésző a HTTP kommunikáció során olyan egyedi azonosítót az operációs rendszerről, amely felhasználható lenne.

IP cím otthoni felhasználónak jellemzően dinamikus. Családon belül tipikusan NAT mögött vannak. A szolgáltatók a felhasználók egy részét NAT mögé teszik, szóval lehet, hogy az egész ház adott emelete egy IP cím.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A dinamikus cím akkor is baj. A NAT-ra jó lenne, amit mondasz, de a megváltozott IP-re nem. Különösen, ha az a pikáns helyzet áll elő, hogy Béla tegnapi IP-jét a mai napon Klárika kapja, és mindketten igénybe veszik a szolgáltatásodat.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Persze, csak épp azt mondom, rettentően félrevezet az IP cím. Semmit sem mond. Azonosság esetén is lehet különböző, valamint különbözőség esetén is lehet azonos az IP cím. Tehát egy olyan zaj ez az infó, ami cseppet sem visz közelebb a célodhoz, a kört szűkíteni sem tudod vele.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

1.

Béla - 1.2.3.4 valamikom.hu
Klári - 7.8.9.10 valamikom.hu

Később:

Béla - 11.12.13.14 valamikom.hu
Klári - 1.2.3.4 valamikom.hu

Itt Kláriról könnyű azt gondolni, hogy ő Béla.

2.

András - 1.2.3.4 valami.kom
Andrea - 1.2.3.4 valami.kom

Később:

András - 5.6.7.8 valami.kom
Andrea - 5.6.7.8 valami.kom

Ők meg NAT mögött vannak. Különböző identitásúak egyébként.

Nem változott a cím, akkor sem jobb, ha változott, az még ront is a helyzeten.

Az különösen jó, ha ezt a második esetet kombinálod az elsővel.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

És mi van akkor, ha a user szolgáltatót vált, mert megelégelte a régi szolgáltatójának a hülyeségeit, vagy költözik?

Csak azt mondom, hogy amikor azt hiszed, ezen infókkal szűkíted a kört, bizonyos esetekben éppen tágítod. Ez zaj, nem információ. Tudom, hogy nem azt várod tőle, hogy egyértelműen azonosítsa a felhasználót, mert a sok halmaz metszeteként szeretnéd, hogy egy elemű halmazod maradjon. Az a bajom, hogy félre is vezethet ez az infó, ami nem ugyanaz, mint amit szeretnél, hogy ez a maszk vagy szűkítse a halmazt, vagy ne csináljon semmit, tehát érintetlenül hagyja azt.

Az IP cím és a domain név néha segíthet, más esetben ugyanazzal a domain-nel és címmel másik felhasználód lesz, de másik domainnel és címmel is lehet ugyanaz a felhasználód. Tehát semmivel sem vagy közelebb a célhoz.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Csak a hupot szoktam nézni:
W10+Edge
W10+Chrome
Ubuntu-Gnome+Chrome
Galaxy S5 Mini+Chrome
Galaxy Express LTE+Chrome
alól.
Akkor az 5 (vagy több) reg lehetőség?
- - - - - - - - - - -
"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol

Alapvetoen szerintem erdemes szetvalasztani a regisztracio es a verifikacio lepeset. A regisztracio azert kell, hogy valami ID-ja legyen a usernek. A verifikacio pedig azert, hogy a user tobbe-kevesbe hitelesen bizonyitsa, hogy o az akinek mondja magat (pl. egy e-mail cim tulajdonosa). A verifikacional az a celod, hogy a legitim usereknek csak minimalisan nehezitsd meg a dolgat, a rosszakaroknak (pl. spammereknek) viszont tul koltsegesse tedd a folyamatot ahhoz, hogy fenntarthato legyen. Par ev tapasztalata azt mondatja velem, hogy az e-mail verifikacio es captcha csak azok ellen a spammerek ellen fog vedeni valamelyest, akik nem teged targetalnak direktbe, hanem szonyegbombazasra mennek. Aki kifejezetten a Te forumodra / forum motorodra specializalodik, annak ez nem jelent akadalyt.

A evercookie jo lehet, de csak korlatozottan jelent visszatarto erot, hiszen manapsag a bongeszo privacy/porno modja eleg jol takaritja ezeket. A fingerprinting meglehetosen megbizhatatlan, mert egyreszt kliens oldalrol erkezik, tehat modosithato, masreszt magatol is modosul, ha a user valtoztat a konfiguraciojan.

Ezzel szemben az SMS-es ellenorzessel sokkal pozitivabbak a tapasztalatok, mert egy telefonszam beszerzese penzbe kerul, ezzel jelentosen megdragitva a folyamatot. Persze azt bele kell szamolni, hogy a user nem szivesen adja meg uton-utfelen a telefonszamat, szoval ez egyfajta visszatarto ero lehet a legitim usereknek. Eppen ezert szoktak csak bizonyos emelt szintu feladatokhoz kerni az SMS-es ellenorzest.

Ha ez nem tetszik, megnezheted a StackOverflow mukodeset, ahol bizonyos funkciok eleresehez le kell tenned valamit az asztalra, a kozosseg szamara hasznos tartalmat kell irnod. Ez ugye erosen fugg attol, hogy milyen tipusu az adott webes szolgaltatas/forum.

Az IP cim tiltast es hasonlo baromsagokat meg gyorsan el is felejtenem, hiszen a NAT, CGN, IPv6 erosen bekavar.

--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT

Meg ugye az volt az eredeti cél, hogy megkönnyítse a szolgáltatásához a hozzáférést. Akkor már inkább a regisztráció. A javaslatotokban még egy másik félhez is regisztrálni kell előbb, annak az adatvédelmi szabályzatát elolvasni, azzal egyetérteni - amivel egyébként épeszű ember nem érthet egyet.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Nem gyorsabb google/facebook accountot csinálni mint e-mail címet. Ellenben a "tipikus" az hogy legalább az egyik már van a usernek, és ebben az esetben kényelmesebb is egy SSO-t átkattintani mint az e-mail címet megerősíteni. (Szóval szerintem javul egy ilyen megoldással az arány a trollkodáshoz szükséges munka és a nemtrolkodók felesleges akadályozása között)

Figy, ralatok par eleg nagy forgalmu projektre, hidd el nekem, hogy ez egyaltalan nem akadaly. Ha meg akarod allitani a felkomoly probalkozokat, az SMS-es validacio a minimum. Ez a profi csalokat tovabbra sem rettenti el, oda meg komolyabb eszkozoket kell tenni, pl. human account ellenorzes, es meg akkor sem biztos hogy megfogod.

--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT

Tökéletesen hiszek neked, azért vetettem fel, mert a kiinduló pont az volt hogy legalább olyan azonosítást adjon mint az e-mail, de legyen kényelmesebb. Ezt szerintem a social login megteszi, az pedig egy másik - kapcsolódó - téma hogy maga az e-mail sem ad megfelelő azonosítást.

Vállalati bejelentkezésnél nálunk regisztrációhoz mindenképpen személyes megjelenés van, elfelejtett jelszó esetén pedig SMS + élő emberes telefonhívás (vagy személyes megjelenés).

hidd el nekem, hogy ez egyaltalan nem akadaly.

mondj errol tobbet

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)

Vannak trükkök:
http://samy.pl/evercookie/
De 100% biztos sosem leszel egy kitiltásban. (A privát böngészés pl. firefoxban az összeset kinyírja, nagyon helyesen)

Az átlag felhasználók dolgát esetleg nehezíted vele, de aki garázdálkodni akar különösebb erőfeszítés nélkül meg tudja kerülni.

Szerintem az "egyszerűbb" regisztrációért cserébe jelentősen bonyolítod a dolgokat.
Egyet értek azzal amit janoszen írt. Egyszerűbb esetben email azonosítás, ha szükséges sms.
Mindkettő elterjed és ismert módszer, nem hiszem, hogy gondot jelentene a felhasználóknak. Akinek meg mégis, azzal nem tudsz mit kezdeni (PEBKAC)

------
Λ4И∤)4

Itt a kérdést egy vizsgálat miatt tettem fel, hogy vajon bizonyos esetekben a szolgáltatás azonnali elkezdésének lehetősége emailes regisztráció nélkül vonzóbb lehet-e az átlag user-nek vagy sem.

Ha nincs reg, akkor nem nehezítem a dolgukat, hanem könnyítem. Persze további feltételek kellene, pl: 1 user más user-eket csak max n-szer jelölhet meg károsnak, illetve a kizárás csak t időre szól stb.

Van-e létjogosultsága ennek bizonyos esetekben? Pl. ha ez olyan szolgáltatás, ahol publikus infót lehet megosztani bizonyos témában? Tehát egy publikus homokozó. Nincs szükség arra, hogy ne legyen mindenki anoním. Csak arra, hogy a "káros" (definiálandó) user-eket ki lehessen zárni. Erre van-e jobb ötlet?

Itt a kérdést egy vizsgálat miatt tettem fel, hogy vajon bizonyos esetekben a szolgáltatás azonnali elkezdésének lehetősége emailes regisztráció nélkül vonzóbb lehet-e az átlag user-nek vagy sem.

Igen, sok szolgaltatas mukodik igy, pl a Twitter is. Megcsinalod a regisztraciot, majd kesobb (bizonyos idon belul) a verifikaciot.

Egyebkent sztem nem erdemes ujra feltalalni a kereket, mert eleg jo az esely, hogy elbaltazod. Valszeg nincs akkora forgalmad, hogy ertelmesen merni tudd, hany user esik hasra a megoldasaidon. Nezd meg mit csinalnak masok, eleg jo az esely arra, hogy nem Te fogod kitalalni a tutit. A fentebb leirtak (+ social login) a jelenlegi best practiceket tartalmazzak es mar igy is eleg maceras jol, user friendly modon implementalni, nem kell bonyolitani. Legalabb fontold meg.

--
Pásztor János
Sole Proprietor @ Opsbears
Development Lead @ IXOLIT

Esetleg (nem ismerve a célközönséget) valamilyen meglévő kifejezetten erre alkalmas login metódust/metódusokat támogatni? OpenID, Face, Twitter, G+ login... stb...
Azzal loginolva meglesz a regisztráció, esetleg át lehet emelni az adatokat saját rendszerhez, vagy használni mindenkit azzal amivel odajött...
- - - - - - - - - - -
"A fejlesztők és a Jóisten versenyben vannak. Az előbbiek egyre hülyebiztosabb szerkezeteket csinálnak, a Jóisten meg egyre hülyébb embereket. És hát a Jóisten áll nyerésre." By:nalaca001 valahol máshol

regisztralhatsz facebook, linkedin, google+, etc acc-okkal is, igy nem kell email cimmel bajlodnod...

--
"nem tárgyszerűen nézem a dolgot, hanem a vádló szerepéből. Sok bosszúságot okoztak, örülnék ha megbüntetnék őket - tudom gyarló dolog, de hát nem vagyok tökéletes." (BehringerZoltan)