+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : bloquer une liste d'ip dynamique apache2 ? (/showthread.php?tid=7295)
RE: bloquer une liste d'ip dynamique apache2 ? - Max72 - 10-01-2015
Le débat part dans une tournure un peu trop abstraite pour moi (je vous laisse continuer bien sûr ^^), je préfère en revenir à ce qui est moins philosophique/moral :
Pour empêcher les multis, j'ai pensé à une combinaison de l'IP / Mot de passe.
Je ne pense pas que dans une famille, tous utilisent le même mdp.
Donc à l'inscription, tu laisses tout passer (on s'en fiche de l'IP etc). A la connexion, tu compares l'IP du joueur qui essaye de se connecter et le mot de passe avec les autres joueurs :
- Aucune correspondance : le mec est (normalement) clean. => pas de soucis
- Le mot de passe est déjà utilisé : rien de suspect, ça peut arriver. => pas de soucis
- L'IP est déjà utilisée : Même famille, ou des potes qui jouent ensemble, ou des collègues au boulot, ... => pas de soucis
- L'IP ET le mdp correspondent à un compte : Il y a de fortes chances qu'on soit face à un multi : => pas de connexion
Ou alors tu autorises la connexion, mais tu sais qu'il faudra avoir un oeil sur ce joueur. Tu peux utiliser un système d'alerte admin, quand le dernier cas se présente l'admin reçoit une notification "Multi suspecté" machin.
Ce n'est pas une solution miracle, mais ça pourra limiter des multis.
RE: bloquer une liste d'ip dynamique apache2 ? - Max72 - 10-01-2015
J'ajouterai aussi que de mon côté, j'utilise une fonction pour l'inscription qui me permet de ne pas autoriser les adresses mails 'poubelles'. Pas difficile de créer plusieurs adresses sur Gmail etc, mais déjà on évite les membres qui se servent d'adresses mails jetables :
Code PHP :
<?php
function valid_email($str)
{
$config['forbid_domains'] = array('yopmail.com', 'trashmail.net',
'haltospam.com', 'ephemail.net', 'brefemail.com', 'spamgourmet.com',
'jetable.net', 'jetable.com', 'jetable.org', 'mailinator.com',
'kleemail.com', 'iximail.com', 'spambox.us', 'link2mail.net',
'dodgeit.com', 'golfilla.info', 'senseless-entertainment.com',
'afrobacon.com', 'put2.net', 'mx0.wwwnew.eu', 'temporaryinbox.com');
if ( preg_match("/^([a-z0-9\+_\-]+)(\.[a-z0-9\+_\-]+)*@([a-z0-9\-]+\.)+[a-z]{2,6}$/ix", $str))
{
list($account, $domain) = explode('@', $str);
return (!in_array(strtolower(trim($domain)), $config['forbid_domains']));
}
return false;
}
$mail = valid_email($email_a_tester);
/*
* Si $mail = true, l'adresse est correcte
* Si $mail = false, l'adresse est erronée ou contient un domaine d'adresse mail jetable
*/
RE: bloquer une liste d'ip dynamique apache2 ? - Xenos - 10-01-2015
Merci d'avoir souligné l'idée du si même IP+même MDP, je log pour juger humainement ensuite, cela m'a permis de réfléchir et de mieux appréhender un point qui me semble gênant.
Pour moi, toutes les mesures techniques ne feront que donner des indices sur l'existence d'un multi-compte: ce ne sont pas des vérités absolues, mais des probabilités.
A partir de ces indices, on peut juger humainement si les comptes sont du multi ou non. S'agissant d'un jugement, il devrait se dérouler ainsi:
• Enoncer les chefs d'accusation
• Avancer les indices / preuves
• Laisser la défense playdoyer
• Laisser le jury décider de la culpabilité
• Prononcer la sentence
Si on le fait humainement, pas de soucis. Si la personne est coupable, la sentence est exécutée (comptes bloqués par exemple) et si elle est innocente, elle est acquittée (note que si ses comptes étaient bloquées entre temps, elle risque de râler un peu).
Mais on peut trouver cela long et fastidieux, surtout quand on sait que le coupable va probablement revenir (avec d'autres moyens techniques ou non).
Dans ce cas, on peut automatiser ce jugement.
Ce qui me gêne, c'est que dans cette automatisation (type je bloque le réseau TOR), on a:
• Des indices / preuves que je trouve légers (mais bon, c'est mon avis perso)
• Aucun moyen pour la défense de plaider
• Un juge qui est aussi juré, bourreau et avocat de l'accusation (pas sûr du terme là!)
○ Alors, on peut multiplier les indices (TOR est-il utilisé? Est-ce le même MDP? etc), chacun ayant un poids différent, et se combinant avec les autres indices. Cela règle le point 1.
○ On peut prévenir le joueur explicitement des indices que l'on collecte sur lui, ou bien en direct ("Vous utilisez le réseau TOR. Ce réseau est beaucoup utilisé par les tricheurs. Vous risquez donc d'être considéré comme un tricheur potentiel."), ou bien dans les CGU (mais quand elles changent, il faut que les joueurs déjà inscrits les acceptent!). Cela règle en partie le point 2 (qui devrait également être complété de la possibilité de recourt de la part du joueur).
○ Là, c'est plus délicat. En tant qu'indépendant, difficile de ne pas assumer les trois rôles. Une solution à mon sens est de laisser jouer l'émergence: on a différents indices, chacun amène une information, mais la combinaisons des indices est telle qu'on ne peut pas d'avance calculer le résultat de cette combinaison. On laisse donc émerger le jugement de la masse de données que la machine a collectée (façon google lorsqu'il affiche les résultats de recherche: personne chez google ne saurait dire exactement le résultat que vous devriez avoir sur votre écran pour telle ou telle recherche sans devoir la 'simuler' en effectuant cette recherche).
D'où le fait que, pour moi, une solution simple consiste à changer la loi et, en un sens, autoriser le mariage multi pour tous (que cela impacte le gameplay ou non; au fond, tant qu'on n'a pas eu de joueurs, on ne sait pas si le multi sera un problème ou pas!).
Le reste du message est moins intéressant...
Ce qui me gène, Argorate, c'est ton manichéisme (qui se voit dans le 1er message)... :heu: Cela restreint, à mon avis, énormément ta vision (tu ranges dans "mauvais à 100%" ce qui ne l'est qu'à 51%). Dur de changer ensuite d'avis. Tu devrais tenir compte des effets collatéraux, et du fait qu'il existe de bons et de mauvais points qui nécessitent de la pondération. Cela te réouvrira des portes que tu as probablement trop vite fermées.
Pour ce qui est de la logique, si tu suis ta propre logique, il faudra l'expliciter car elle n'est pas forcément celle des autres. Suivre sa propre logique, pourquoi pas, mais tout le monde le fait. C'est exposer les fondements de sa logique qui est intéressant (et ces fondements ne sont parfois même pas conscients): notre propre logique nous semblant naturelle, on ne juge pas nécessaire de l'expliciter, ce qui est un tort.
Pour le recul, je ne me vanterai de rien: impossible de prendre du recul seul, il faut le prendre à plusieurs (c'est ma définition). D'où, en partie, ma tendance à répondre sors d'abord le jeu, et après tu t'occuperas des triches, car il faut des tricheurs réels pour avoir le recul nécessaire à l'analyse de leur comportement et l'établissement de solutions.
Pour le débat, à mon sens oui la première étape c'est comprendre la vision de chacun... Mais il manque la seconde: pouvoir s'approprier ces visions pour les intégrer à la sienne. Sinon, c'est faire un débat stérile dont chacun ressort inchangé.
"Le multi ca fait ièch parce que cela déséquilibre le jeu. Je trouve qu'il y a justement là beaucoup de raccourcis, car pour qu'il y ait déséquilibre, il faut:
• Que le gameplay soit conçu d'une certaine façon (→ existence d'un effet sur le jeu)
• Que tous les joueurs ne soient pas logés à la même enseigne (→ cet effet est un déséquilibre)
Peut-être avez-vous d'autres conditions à expliciter? je serai ravi de les entendre
Mais de ces deux-là, on peut tirer 3 solutions (si vous en avez d'autres, dites-le!):• Construire un gameplay où le multi n'est pas nuisible
• Autoriser tous les joueurs à faire du multi (on loge tout le monde à la même enseigne)
• Interdire tous les multi comptes (on loge aussi tout le monde à la même enseigne)
Seulement, la 3e solution n'a pas d'application technique possible (vous en avez une?!). On peut faire tout son possible, mais cela n'interdira pas 100% des multis, et cela ne logera de toute façon pas tous les joueurs à la même enseigne, à cause des effets directs (les compétents multieront toujours) et collatéraux (les membres d'une même famille ne pourront pas jouer,...).
De plus, il faudrait analyser les composantes du gameplay qui entrainent le déséquilibre: bloquer le push pourrait rendre le multi inopérant (il ne déséquilibre plus le jeu et peut donc être ignoré). J'aime bien cette solution d'ailleurs.
Enfin, bloquer les emails jetables, c'est un choix, mais en tant qu'utilisateur régulier d'emails poubelles (quand je n'ai pas confiance en un site), c'est très bloquant: au lieu de m'inscrire pour essayer (puis de partir, ou de rester en changeant alors mon mail) je pars directement.
Note:
Ta regex, Max72, est hyper-restrictive. Beaucoup d'emails valides seront rejetés. D'accord, ce ne seront peut-etre pas les plus courantes, mais elles sont tout de même valides. Par exemple, les caractères accentués comme ñoñó1234@server.com
RE: bloquer une liste d'ip dynamique apache2 ? - niahoo - 10-01-2015
Mais s'il n'y a pas de déséquilibre (ou autre effet négatif, ceci n'était qu'un exemple) ... ben du coup on s'en fout d'autant plus.
Argorate, peut-être que pour toi ça compte énormément de savoir que quelqu'un l'a fait exprès ou non, mais comment vas-tu le savoir ? Si le but de cette discussion c'est de trouver de nouvelles solutions pour bloquer le multi, qu'est-ce que ça change de savoir ça ? Car pour le savoir il faut déjà avoir identifié le multi. Ensuite tu peux enquêter pour savoir si c'est un vil démon ou bien un saint, et appliquer une sanction en conséquence ; là pour le coup ça ne regarde plus que toi.
Citation :je ne devais pas la donner ?
Si, bien sûr, lutter contre le multi m'intéresse aussi. Par contres les diatribes sur le bien, le mal, la morale et l'ordre du monde beaucoup moins
Surtout que bon, tricher dans un jeu vidéo à t'entendre on dirait que c'est un crime.Bref désolé de flooder avec ça.
RE: bloquer une liste d'ip dynamique apache2 ? - CaptainJS - 10-01-2015
Moi je vais tolérer le multi (jeu type Tactical RPG), ne serait-ce que parce que j'ai envie (pour moi même) d'avoir plusieurs équipes à gérer : personnellement je vais opter pour la possibilité et l'encouragement à déclarer via une interface ses comptes et le blocage des déplacements des persos à proximité des persos des multicomptes.
Pas de sanctions, mais une déclaration forcée si des comptes font des échanges suspects (à définir)
RE: bloquer une liste d'ip dynamique apache2 ? - Xenos - 10-01-2015
Les diatribes (tiens, j'ai appris un nouveau mot!) sont arrivées sur le post car il y a un mélange entre la morale (la fin) et la technique (le moyen)...
Les moyens techniques n'ont pas de morale (la serrure de votre porte se fiche que vous soyez le propriétaire ou non: pour entrer, il vous faut la clef et c'est tout; bloquer TOR se fiche que vous soyez un joueur 'légitime' ou non).
Devoir déclarer ouvertement ses multis, c'est futé
Mais si cette déclaration est facultative (la possibilité de déclarer) et que cela a pour conséquence de contraindre le joueur (blocage des déplacements), alors les joueurs risquent de se sentir trahis s'ils déclarent (ils sont sanctionnés par la non-liberté de se déplacer) et donc encouragés à ne pas déclarer.On pourrait plutôt favoriser la déclaration de multi: à l'inscription, j'indique si c'est un multi-compte. Cette indication doit être validée par l'autre compte (déjà inscrit donc). Une fois cette validation faite, je mets les deux joueurs à proximité pour qu'ils s'entraident. Ainsi, déclarer me semble avantageux (le multi est concentré au même endroit: plus facile de faire du push et des échanges), mais il y a une limite intrinsèque (si je fais trop de multi comptes, alors je ne peux plus attaquer les autres vrais joueurs car tous mes voisins sont des comptes à moi).
En plus, on réutilise les codes du parrainage dont on avait déjà parlé (mettre les filleuls pas trop loin du parrain).
RE: bloquer une liste d'ip dynamique apache2 ? - Insectoid - 11-01-2015
Bonjour,
J'ai lu en biais mais avec attention l'ensemble du post.
En effet, je serai comme beaucoup d'autres je pense confronté à la problématique du multi-compte.
Pour ma part, voici ma méthode (théorique)
1 - je commence par collecter les IP utilisés par les connexion des joueurs
2 - Par principe, un compte avec un IP dans son historique ne peut avoir de relation (echange, bataille) avec un autre compte ayant aussi eu le même IP dans l'historique
3 - Néanmoins, ce blocage de relation ne dure que une période définie (Ogame, c'est une semaine, mais on peut faire 2 semaine, un mois...)
4 - Gestion des exceptions : Via une déclaration par le joueur, il est possible d'éviter ce blocage.
5 - Il y aura malgré tout des tricheurs très aguerris pour passer autre tout cela
6 - Il y aura des victimes honnêtes (serveur d'entreprise, étudiant utilisant le wifi de leur structure etc...
7 - il est impossible de tout prévoir. Aussi, je préfère vérifier via les IP commun entre joueurs que de tout bloquer (cas des vpn, tor, internet d'entreprise etc...)
8 - Donc prévoir une gestion souple des joueurs.
Voilou
Insectoid
RE: bloquer une liste d'ip dynamique apache2 ? - Argorate - 11-01-2015
(10-01-2015, 01:05 PM)Max72 a écrit : J'ajouterai aussi que de mon côté, j'utilise une fonction pour l'inscription qui me permet de ne pas autoriser les adresses mails 'poubelles'. Pas difficile de créer plusieurs adresses sur Gmail etc, mais déjà on évite les membres qui se servent d'adresses mails jetables :Ah oui très bonne idée également. +1
(10-01-2015, 02:29 PM)niahoo a écrit : Argorate, peut-être que pour toi ça compte énormément de savoir que quelqu'un l'a fait exprès ou non, mais comment vas-tu le savoir ? Si le but de cette discussion c'est de trouver de nouvelles solutions pour bloquer le multi, qu'est-ce que ça change de savoir ça ? Car pour le savoir il faut déjà avoir identifié le multi. Ensuite tu peux enquêter pour savoir si c'est un vil démon ou bien un saint, et appliquer une sanction en conséquence ; là pour le coup ça ne regarde plus que toi.En fait le but ici c'est pas de savoir l'intention, c'est de faire de la prévention. Si tu supprimes la possibilité (en bloquant des moyens de tricher), alors tu réduis du même coup les triches elles-même. C'est un peu comme laisser le trousseau de clé de la salle des coffres à un voleur, ça sera tellement à porté qu'il ne pourra s'en empêcher... En repoussant la difficulté pour obtenir les clés, on diminue significativement la tentation et l'acte en lui même.
(10-01-2015, 02:29 PM)niahoo a écrit : Si, bien sûr, lutter contre le multi m'intéresse aussi. Par contres les diatribes sur le bien, le mal, la morale et l'ordre du monde beaucoup moinsLe problème de fond c'est que ce soit un jeu vidéo ou non n'importe pas, c'est une mentalité. Si tu fais ça seulement pour des pièces d'or virtuel, t'imagine bien ce que font les gens pour des vrais... Le problème est donc bien plus profond, et changer les mentalités c'est difficile et ça prend du temps, mais si nous qui en avons le pouvoir sur nos créations (et ça peut être autre chose qu'un jeu), on ne se préoccupe pas de ça, alors qui le fera?
PS: j'avais volontairement pas parler de mes motivations dans mon poste initial pour ne pas entrer sur le terrain de si c'était "bien ou mal de bloquer TOR", je voulais juste une aide technique
RE: bloquer une liste d'ip dynamique apache2 ? - niahoo - 11-01-2015
Citation :En fait le but ici c'est pas de savoir l'intention, c'est de faire de la prévention. Oui, merci, c'est bien pour ça que les discours sur la morale, le bien et le mal (comme la suite de ton post) sont inutiles.
Hmmm et donc tu vas faire changer les mentalités en bloquant TOR ? mouais, tu as raison, parlons plutôt de technique uniquement.
RE: bloquer une liste d'ip dynamique apache2 ? - Max72 - 11-01-2015
(11-01-2015, 07:59 PM)Argorate a écrit : ..
. Le problème est donc bien plus profond, et changer les mentalités c'est difficile et ça prend du temps, mais si nous qui en avons le pouvoir sur nos créations (et ça peut être autre chose qu'un jeu), on ne se préoccupe pas de ça, alors qui le fera?
Je trouve que tes dires vont à l'encontre de ta volonté de bloquer les multis.
Si tu arrives à empêcher tout multi, penses-tu avoir fait évoluer les mentalités ? Non. Les gens n'auront pas changé, ou alors ils se diront qu'ils sont de moins en moins libres, partout.
Tu veux faire évoluer les mentalités, mais ce n'est pas en bridant tout le monde que tu y arriveras, bien au contraire. Plus tu seras strict, plus les joueurs chercheront à tricher.
De mon point de vue, leur laisser du leste, une fourchette dans lesquels ils peuvent s'épanouir, permet de mieux cadrer les joueurs (et dans un cadre plus général, les gens) : Les gens adorent dépasser les règles, c'est humain (et encore plus français).
Par exemple, sur l'autoroute, beaucoup roulent à 135/140 au lieu de 130. Si demain les limites de vitesse augmentaient à 140, les gens rouleraient à 145 / 150, uniquement car "il faut enfreindre" (un peu) les règles..
Mais en leur laissant la possibilité de "tricher" légèrement (par exemple permettre le multi), tu canalises déjà et peux prévoir comment se comporteront tes joueurs (en théorie bien sûr).
Si un jour j'ai des accrocs à mon jeu, j'aimerai qu'ils passent leur temps à créer des multi comptes, plutôt que de chercher à tout prix des failles..