+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Adresse IP (/showthread.php?tid=4851)
Adresse IP - Chandler - 27-05-2010
Bonsoir,
J'ai découvert des sites, je ne sais pas comment cela s'appelle, qui propose d'envoyer une IP différente à n'importe quel serveur. Sur ce site on rentre l'adresse internet d'un autre site qui verra par exemple que l'utilisateur vient du Portugal avec une adresse IP bidon alors qu'il est en réalité installé sur son fauteuil à Paris.
M'y connaissant peu je me demande si cette méthode n'est pas ennuyeuse pour lutter contre les multi comptes ou autres formes de triches? A moins qu'en réalité il soit facile de démasquer la supercherie et la vraie adresse IP?
Merci d'avance
RE: Adresse IP - Mycroft - 27-05-2010
Ca s'appelle des "proxy" (probablement proxies au pluriel).
C'est un serveur qui se fait passer pour toi.
Après il y a d'autres moyens de détecter des tricheurs, comme enregistrer toutes les transactions entre comptes. Si il y a trois ou quatre comptes qui ne sont là que pour servir ou donner leurs ressources à un quatrième c'est qu'il y a probablement triche. (Mais il faut avoir le temps d'éplucher les logs ou de créer des alertes pertinentes).
RE: Adresse IP - Anthor - 27-05-2010
On ne peux jamais croire l'IP !
Comme l'a dit Mycroft, tu peux enregistrer les transactions, tu peux aussi vérifier le hash des mots de passe pour voir si ils sont équivalent, le rapprochement des heures de connexions...
RE: Adresse IP - Sephi-Chan - 27-05-2010
Une solution efficace est aussi de stocker des choses comme la résolution d'écran du joueur, l'OS qui l'utilise (et sa version), son navigateur, les polices installées, la version de Flash installée (et les différents plugins installés), etc.
Le Site du Zéro a publié une news (peut-on être suivi sur le Web sans cookies ?) plutot intéressante sur le sujet. On se rend compte que même sans cookie, on peut déjà bien pister (plus de 83% des utilisateurs ont pu être identifiés de manière unique, sans cookies).
Pour nous qui pouvons utiliser ces techniques là en plus des cookies (car sans cookies, pas d'authentification), il y a moyen de faire quelque chose de vraiment très performant.
Comme on en discutait avec Anthor, il pourrait être sympa de développer un service Web qui se charge de créer des profils à partir d'un identifiant (par exemple le hash de l'email, pour ne pas transmettre d'emails au créateur dudit service Web).
Sephi-Chan
RE: Adresse IP - Colmea - 27-05-2010
Intéressant tout ça !
Je n'ai pas bien compris ce que tu veux faire avec le service web Sephi-Chan, mais est-ce que proposer un service de détection des doubles comptes unique, "universel" n'augmenterait-t-il pas le risque que de petits malins s'acharnent à trouver les failles de ce service web, et par conséquent la faille de l'ensemble des sites qui souscrivent à ce service.
Je veux dire par là, est-ce qu'un bon vieux truc de détection maison, personnel et inconnu de tous, ne vaut pas mieux qu'un service web que tout le monde utilise ?
RE: Adresse IP - Anthor - 27-05-2010
Tout dépend, le service est pensé, pour ne donner des clés de cryptage qu'aux sites utilisant le service.
De cette manière tant qu'aucun jeux ne fausse le système, ca reste parfaitement viable.
L'utilité étant qu'avec un hash de l'email, et un grand nombre de jeux, le ciblage est beaucoup plus précis.
RE: Adresse IP - Sephi-Chan - 27-05-2010
Si un mec développe un script anti-flicage efficace, il le sera aussi bien pour l'API que pour le système maison.
L'idée serait de proposer un service auquel tu envoies des informations à chaque chargement de page par le possesseur du compte (enfin, je dis à chaque page, mais c'est au bon vouloir du développeur).
Ainsi, le web service proposerai une API Javascript (avec les méthodes de détection des différents paramètres) que le site de jeu inclurait avec des fonctions de détection (mais la requête serait initiée par le serveur, pas en Ajax).
Ainsi, le web service disposerai de plusieurs informations associées à un identifiant. Le hash de l'email est un bon identifiant car il permettrait de respecter la vie privée des personnes tracée.
Le service mesurerait un indice de confiance selon la quantité de données recueillies pour cet identifiant. Ainsi, s'il dispose de peu de données ou de données incohérentes, l'indice sera faible. Envoyer des données cohérentes mais fausses n'est pas vraiment envisageable (ça implique d'avoir des contremesures pour chaque caractéristiques évaluées (falsifier la résolution d'écran que lira Javascript, par exemple), et la désactivation de Javascript conduirait à un indice médiocre).
Si tu utilises un navigateur autre que IE, regarde l'objet navigator dans la console Javascript, et tu verras qu'entre les mime type que tu es capable de lire et les plugins dont tu disposes (ainsi que leur version), il y a moyen d'en savoir vraiment beaucoup.
Bien sûr, les sites utilisant le web service disposeraient d'une clé privée pour signer leurs envois, afin d'éviter à un site de corrompre les données en injectant de fausses données pour certains email.
Sephi-Chan
RE: Adresse IP - Colmea - 27-05-2010
Je signe :good:
RE: Adresse IP - php_addict - 27-05-2010
oui mais il y a deux facon de faire du multi compte:
- avoir 2 fournisseurs d'acces differents: presque imparrable, faut etudier le comportement des joueurs pour savoir si c'est le meme joueur, pas très evident...
- TOR peut contourner le "flicage configuration"
je ne vois que c'est 2 solutions...
RE: Adresse IP - Sephi-Chan - 28-05-2010
(27-05-2010, 11:53 PM)php_addict a écrit : oui mais il y a deux facon de faire du multi compte:
- avoir 2 fournisseurs d'acces differents: presque imparrable, faut etudier le comportement des joueurs pour savoir si c'est le meme joueur, pas très evident...
- TOR peut contourner le "flicage configuration"
je ne vois que c'est 2 solutions...
Ce sont les solutions les moins efficaces pour en faire puisqu'au contraire, les développeurs ont admis que l'IP n'était pas fiable, ni quelques autres trucs.
Ça ne cachera pas ta version (et révision) de Flash, ni ta résolution d'écran, ni la version de ton plugin CoolIris pour Firefox. Ni la version de ton OS couplé à la version de ton navigateur. Ni les polices d'écritures installées sur ton OS. Toutes ces petits données font qu'au final, 80% des gens peuvent être identifiés de manière unique sans même utiliser de cookies.
Il y a donc un réel potentiel pour luter contre les multi-compte. Ça ne sera jamais infaillible, mais ça fera avorter 99% des tentatives. Les petits malins ne le sont pas toujours tant que ça.
Sephi-Chan