Browserspiel Sicherheitslücken

[~Hawkeye~]

Hi,

ich entwickel seit längerem die Datenbank für ein Browserspiel und diese habe ich nun an einem Punkt, andem ich mit dem Programmieren anfangen kann.

Vorab wollte ich aber Mal wissen wie ich einpaar Sicherheitslücken schließen kann.

Die Programmiersprache ist php 4.

Also jeder Spieler muss sich registrieren und bekommt dann einen Account.

Im Regelwerk habe ich mir überlegt, dass es doch Sinn macht, wenn nur ein User nur einen Account haben darf und nur ein Account zu einem User gehören darf.

Die Frage ist nun, wie kann ich nachvollziehen, dass ein User sich nur einmal registrieren kann bzw. nur ein User auf einem Account sein darf.

Ein User auf einem Account sollte zu realisieren sein, wenn ich in der Datenbank noch mit speicher, mit welcher IP der User sich gerade eingeloggt hat. Tritt eine IP mehrmals in unterschiedlichen Accounts auf so sollte es nur 2 Möglichkeiten geben. Ein User ist in 2 Accounts eingeloggt oder es sind 2 User hinter einem Proxy unterwegs. Das mit dem Proxy könnte ich nun noch abfangen indem ich einem User erlaube einen Antrag zu stellen, dass ein anderer User mit der gleichen IP möglich ist und dann das Verhalten der User beobachte aber optimal ist das leider nicht.

Ein anderer Weg führt wohl über Cookies auf dem Client aber damit würde ich wohl, meiner Meinung nach, nur einen kleinen Teil von den Leuten rausfiltern, die wirklich betrügen wollen.

Mir ist klar, dass wenn jemand Betrügen will und der das Wissen dazu hat, wird er einen Weg finden aber es sollte zumindest die breite Masse ausgefiltert werden.

Also habe ich aus php herraus die Möglichkeit einen Client eindeutig zu identifizieren? Hat der Apache vieleicht ähnliche Möglichkeiten wie der IIS wenn es um Benutzerauthentifizierungen im Internet geht?

[cane]

Hat der Apache vieleicht ähnliche Möglichkeiten wie der IIS wenn es um Benutzerauthentifizierungen im Internet geht?

Also einen IIS mit der Software zu vergleichen auf der > 70 % des WWW basiert ist schon frech Der Apache kann alles noch viel besser was willst du genau?

Also nach IPs zu filtern finde ich nicht gut, viele nutzen Proxies...

Ich würde auf Cookies setzen.

mfg

cane

[~Hawkeye~]

Ich denke da an die Funktionen, die hinter der integrierten Benutzerauthentifizierung vom IIS stecken. An irgendwas kann der wohl einen Client eindeutig identifizieren und wiedererkennen. Die Frage ist, wie er das macht und ob das erkennen des Clients mit dem Apache auch möglich ist. Ich will auch keinen IIS ins Internet stellen. Da kann ich auch gleich alle Accounts ohne Passwörter vergeben *g*

Cookies sind eine Möglichkeit nur wieviel Prozent bekomme ich damit herrausgefiltert? Ich weiß nicht wieviele Leute auf die Idee kommen würden die Cookies zu löschen und sich dann doch wieder neu zu registrieren.

[phadiax]

Eine weitere Möglichkeit ist es nach gleichen Login-Zeiten zu suchen. Also wenn du beispielsweise einen Verdacht hegst, dass jemand Multi-Accounts betreibt, dann kannst du anhand der Login-Zeiten feststellen, ob da möglicherweise die gleiche Person hinter verschiedenen Proxys sitzt.

[cane]

Komplett kannst du es wie Du richtig erkannt hast nicht filtern, Cookies sind aber die erträglichste Lösung...

An irgendwas kann der wohl einen Client eindeutig identifizieren und wiedererkennen.

Kenne den IIS kaum - kann ich daher nichts zu sagen...

Ich will auch keinen IIS ins Internet stellen. Da kann ich auch gleich alle Accounts ohne Passwörter vergeben *g*

Der neue IIS soll schon recht sicher sein, Problematisch ist eher das ihn oft Administratoren verwalten die lieber in ner GUI rumklicken als mal ein paar Logs zu lesen Von den Möglichkeiten der Absicherung, ich will da nur mal mod_security nennen, kann der IIS IMHO gegenüber dem Apache bei weitem nicht mithalten...

mfg

cane