Решение задачи: "два пользователя с одним паролем!"

Что посоветуете сделать для решения вот такой задачи. Есть сайт который защищен паролем. Нужно создать механизм запрещающий нескольким пользователям заходить одновременно с одним паролем.
После длительных размышлений пришел к выводу что все это можно сделать с помощью MySQL! При авторизации я сохраняю имя пользователя, время когда он подключился и IP адрес в базе данных! Также я обновляю данные (время) при обращении к странице сайта.
В течении следующих 10 минут (с момента последнего подключения реального пользователя) я запрещаю подключатся пользователям с другим IP адресом!
Если прошло больше 10 минут, это означает что пользователь отключился и зашел заново, но уже с другим IP адресом!
Но у этого метода есть свой недостаток! Если например пользователь не проявлял активность в течении 10 минут любой другой пользователь может подключится и "выкинуть" реального. Решением является: размещение Ява кода на каждой странице, который будет делать Represh каждые 9 минут.
Как видно это все слишком сложно! Может показаться что я изобретаю велосипед! По этой причине прошу вашего совета по решению данного вопроса!
Приму любую критику, замечания и конечно советы!
Спасибо за уделенное мне время

База будет иметь следующий вид:
UserName CHAR
Password CHAR
OwnerIP CHAR
LastEnter INT

посоветуем
не маяться фигней
и не злоупотреблять восклицательными знаками

да подобных готовых решений уже много, не парься

И где можно прочесть про эти уже создание методы? Ну или скачать скрипт чтоб поглядеть что там? Меня устраивает скрипт на РНР.
Что касается Восклицательных знаков LOL :-D

Некий пользователь с именем Вася Пупкин подключился к моему сайту впервые! Я сгенерировал ему индивидуальный номер
s=598dd721ebd0c550870aabedc0770973
Данные я сохранил как в базу данных так и в кукисах пользователя! Все как будто оки токи!
Теперь некий XXXXX пользователь пытается подключится с данным именем и паролем, но номер сессии не совпадает! В данном случае пользователь XXXXX может быть:
1) Злоумышленник который пытается использовать чужой пароль! Мы пришли к этому выводу так как его номер сессии не совпадает с номером сохраненном в базе данных!
2) Владелец с именем Вася Пупкин решил зачистить компьютер и удалил все кукисы! В этом случае его номер сессии не совпадает с номером в базе данных и он расценивается как злоумышленник!
Единственным решением будет если можно отловить момент ухода с сайта пользователя! В противном случае, нет возможности определить по какой причине не совпадают номер сессий: попытка злоумышленника или реальный пользователь пытается зайти заново на сайт!

С IP возможно будут проблемы если пользователь пользуется прокси.
Но если совокупить первый и второй алгоритм то получится довольно сильный метод зашиты! Единственная проблема если пользователю захочется очистить кукис и зайти на сайт заново в течении 10 минут! Но как мне кажется это извращение! :-) и это произойдет очень редко.

ни прочитать, ни скачать ты ничего по этой теме стоящего не найдешь - разве что общие рекламные описания, но там нет ничего, что за полдня вдумчивых размышлений нельзя дойти самому
у каждого скрипта или партнерки, которая до "под себя" защиты доросла - свои тонкости, ноу-хау и алгоритмы, и никто их на растерзание орлам с wapbbs не выложит

Получается это как замок сейфа или метод шифрования. Но самыми мощными методами шифрования являются те методы чьи алгоритмы всем известны но расшифровать данные все равно кроме их владельца ни кто не может. Даже тот же самый банальный шифр вижинера, его взломать можно но от ламаков помогает!
Мне нужна только идея, направление а дальше я сам пойду, я хорошо разбираюсь в программировании (реально моя профессия программист), побеждал в олимпиадах Закавказья, так что алгоритм найдем главное ИДЕЯ!
Спасибо
П.С. Механизм замка и сигнализации на общем уровне всем известен, вот то же самое мне нужно и в данном вопросе!

Топиустартер - тебе не кажется, что все издеваются?
Это бля не вопрос для "Победителя олимпиад Закавказья". Хотя может у вас там такие олимпиады...

Может тебе сертификат покаты? :-)
Что касается: "Топиустартер - тебе не кажется, что все издеваются?", может кто и издевается но мне на них глубоко наплевать!
Это бля не вопрос для "Победителя олимпиад Закавказья". Ну я кто и клоню что олимпиада и данная тема это две разные веши, на олимпиаде MySQL и PHP вместе с JavaScript ни кто не спрашивает, если конечно вы участвовали в олимпиаде по программированию, есть два языка Paskal и долбанный Basic ну и если хош можно турбо ассемблерные вставки делать! Главное на олимпиаде придумать оптимальный алгоритм чтобы твоя задача в долбанные 10 или что еще хуже в 5 секунд обработала такое количество инфы что стандартным методом даже если и сделаешь понадобится от нескольких минут до нескольких часов!
А к чему я все это, да к тому что в этом деле я начинающий и только вышел на прямую. Много надо выучить, разобрать, посему обратился к профи и интересно что скажут по поводу моего алгоритма, в реале его почти не возможно обойти!

ну почему кажется ?
я лично действительно стебался

dm ты придурок или претворяешься? :-) Бля за целый год ты сделал 37 постов и из них 3 в мою тему! :-)
Во блин попал на придурка наверно, я с проблемой а он нашел время прикалываться! Во бля ох***!

молодой чемодан
вы во-первых остыньте..

[чих-пых, стер нафиг ]

ps: и стебался и продолжу над подобным

Da blin kak ti i bil trepachom tak i ostaneshsa ia v etom ne somnevaus!

чувачок, DM уважаемый программер и спец в данных кругах, мог бы узнать у него много полезно, а не ругаться ;) и посты - не показатель)

А мне похуй сколько у него постов и какой он программист, для меня он тупой. Не может ответить на заданный вопрос и ебется как базарная баба. Не хочет отвечать, пошол он на х**! Я задал вопрос на форуме, а не конкретно ему.

Delphi7, ща тебе плюсов накидают, и будут правы, ибо нехрен...


алгоритмы твои абсолютно нерабочие, вернее конечно можешь их реализовать, но платник который решится их себе поставить умрет очень быстро, так как есть серферы у которых динамические ип, у которых нет поддержки кук, нет джавы и т.д. - твой скрипт его не пустил - он сделал чарджбек...билинг выкинул платник... вот в принципе и все к чему приведут твои алгоритмы. не говоря уже о методе реализации.

идея у тебя и так правильная- надо проверять чтобы паролем мог пользоватся только один мембер. другой тут нету

а рабочие алгоритмы как тебе уже сказали никто не выдаст.
участники олимпиад должны уметь думать самостоятельно.

Последний раз редактировалось: bog (30/10/04 в 17:15), всего редактировалось 1 раз

Delphi7 писал:

А мне похуй сколько у него постов и какой он программист, для меня он тупой. Не может ответить на заданный вопрос и ебется как базарная баба. Не хочет отвечать, пошол он на х**! Я задал вопрос на форуме, а не конкретно ему.

мда... за советом говоришь пришел ?
а вообще, как мне кажется правильным вариантом будет следидь за активностью каждого аккаунта. если скажем за 10 минут на один аккаунт зашли с 20 разных ip, то сразу блокировать аккаунт.

ah2ng писал:

мда... за советом говоришь пришел ? а вообще, как мне кажется правильным вариантом будет следидь за активностью каждого аккаунта. если скажем за 10 минут на один аккаунт зашли с 20 разных ip, то сразу блокировать аккаунт.

... И пользователи AOL тебе скажут "спасибо" . От AOL один дрон может заходить легко по куче адресов.

dm правильно говорит - это все "ноу-хау", которые никто не будет тут рассказывать. Либо из соображений безопасности, либо из коммерческих соображений, либо из того и другого. И я не буду.

Dr.Syshalt писал:

... И пользователи AOL тебе скажут "спасибо" . От AOL один дрон может заходить легко по куче адресов.

я думаю, что можно найти выход просто у меня не было такой задачи...

2 ah2ng thanks, idea nashot 20 IP realno kruta, sha eio nado razvit!
Bolshoe spasibo.
Mojet kto esho chto umnoe skajet?

Если ты не программер, то нефиг задавать такие вопросы.

Если ты программер, то решение этого вопроса заключается в 10 (максимум 30) минутах напряженного мышления.

Ты бы еще ТЗ выложил и спросил "как это сделать?". phpdevs.com - иди, помогут (может быть).

Da no esli eto tak legko reshit razve trudno nameknut a ne pisat tipa eto legko ili sam podumaia!
Eto tolko podtverjdaut mou misl chto ni kto ne znaet kak reshit etu problemu.
P.S. Po etomu vorosu na flasher.ru v techenii nedeli bila diskusia v kotoroi uchastvovali moderatori vetki PHP i oni ne smogli posovetovat nichego cennogo, odin posovetoval priti na etot forum.

Объяснение очень простое - 100%й защиты от подобного не существует. Это в принципе невозможно. Поэтому все системы, которые предохраняют от одновременного логина и расшаривания паролей, действуют лишь в определенных пределах надежности. То есть узнав алгоритм, по которому эти системы работают, люди их смогут обойти. Потому никто тебе не расскажет тут, на открытом форуме, как именно работает его система отлова халявщиков.

session_id в базе как уникальное поле. ну плюс еще настройки самих сессий подтюнить.

защита существует... ну не 100, так 99.9 процентов точно срабатывает,
но на этом деньги делаются, поэтому невижу никакого смысла делиться рабочими алгоритмами.

если топикстартер хочет написать скрипт для себя - его алгоритм на примитивном уровне возможно поможет в решении каких то проблем.
сомневаюсь что ему придеться столкнуться с проблемами которые возникают у больших платников. так что если есть желание - пускай пишет.

а чтоб писать конкурентно-способные рабочие скрипты надо очень хорошо разбираться в теме.

я уже говорил 3 основные проблемы которые надо учесть:
1. У серфера может быть выключены актив-х,реферс,куки.
2. один и тот же серфер может в течении минуты зайти с нескольких разных ИП.
3. абсолютно разные серферы могут использовать один и тот же ИП.

как решить эти проблемы - думайте сами... материала по теме предостаточно.