با سلام

دوستان من می خواستم بدونم چه طور میشه از ورود چند نفر با یک نام کاربری یکسان جلوگیری کرد؟

البته من جستجو کردم و چیز خاصی به دست نیاوردم.

نکات اینکه:
1- من از Membership خود دات نت استفاده می کنم

2- برای کاربری که Log out کرده باشه مشکلی وجود نداره چون خود Membership آنلاین بودن کاربر رو تشخیص میده، ولی مسئله این جاست که اگه یک کاربر صفحه رو بست چه جور باید چک کنم که طی مدت زمان خاص این کاربر در سایت فعالیتی نداشته؟

یک راه حل نه چندان مناسب که خودم پیدا کردم این بود که توی membership provider که خودم تعریف کردم userIsOnlineTimeWindow رو برابر مقدار کمی قرار دادم و توی صفحه لاگین در رویداد OnLoggingIn بررسی کردم که اگه کاربر آنلاین بود از ورود جلوگیری بشه، حالا اشکال کار اینجاست که اگه مثلا userIsOnlineTimeWindow رو برابر 5 دقیقه قرار بدی و کاربر اول توی سایت 5 دقیقه Idle باشه (ولی هنوز توی سایت باشه) کاربر دوم بعد از پنج دقیقه میتونه وارد سایت بشه بدون هیچ مشکلی.


کسی تا حالا به این مورد برخورد نکرده؟

سلام دوست عزیز.برای جلوگیری از ورود همزمان با یک نام کاربرری شما چندین روش وجود دارد که من دو مورد آنرا مورد استفاده قرار می دهم.
1-استفاده از Session . ابا تعریف sesshion می توانید Count کنید و تعداد کاربران آنلاین را بدست آورید .البته به شرط آنکه کد کاربری را در Session ذخیره کنید.
2- روش منسوخ شده 0 و 1 با گرفتن یک فیلد در بانک اطلاعاتی و هنگام ورود کاربر به پنل مقدار 1 شود و دیگر کسی نمی تاند تا زمانیکه کاربر خروج نکرده وارد شود.البته این روش ایرادات زیادی هم دارد.من پیشنهاد می کنم از همان Session استفاده کنی:چشمک:

دوست من ممنون از راهنمایی شما، ولی توی هر دو تای این روش ها اشکال بستن پنجره توسط کاربر وجود داره یعنی اگه پنجره بسته شد با چه فرآیندی تشخیص بدیم که کاربر از سایت خارج شده؟ و اگه بلافاصله بخواد توی سایت لاگین کنه اینجوری امکانش وجود نداره تا Session نابود بشه.
در ضمن هنگام استفاده از Session خطر Session Hijacking وجود داره.


بازم ممنون از دوستان، کسی چیز دیگه ای به ذهنش نمی رسه؟

من خودم تجربه ایی ندارم ولی می بینم سایت های درست و حسابی مثل گوگل و یاهو هم این کار رو نمی کنن شما چرا می خواهید همچین کاری کنید؟

به خاطر این که در حال طراحی سایتی هستیم که هر اکانت اون برای استفاده از سایت به فروش میرسه و اگه این کار رو نکنیم توی یه مجموعه همه افراد با یک اکانت وارد سایت میشن و استفاده میکنن.
خب گوگل و یاهو هم حتما به این تکنیک نیاز پیدا نکردن که استفاده کنن وگرنه میکردن!

شايد روش جالبي نباشه ولي ميشه قبل از Login كاربر مورد نظررا logout كرد

بر فرض اگه هم این امکان وجود داشته باشه، این جوری کسی که در حال استفاده از سایت هستش با اشکال مواجه میشه که این اصلا خوب نیست.

در مورد نفوذ به سشن بحث شده ، ضمن اينكه خود ممبر شيپ هم داره از سشن استفاده ميكنه .اما در موردش جستجو كن خودم قبلاً امنيتش رو با يه سري راه حل بالا بردم . تا 99% جواب ميده .اون 1% هم بمونه واسه ...
در مورد بستن پنجره ميتوني با جاوااسكريپت يه كد بدي سرور كه اون 1 رو كه دوستمون عرض كرد رو 0 كنه .در اين مورد جستجو كن چرا كه قبلاً جواب گزاشتم و گزاشتند !
يه سري راه حل ديگه هم هست كه هم خيلي سخته برات هم پيچيده .

موفق باشي عزيزم .

به خاطر این که در حال طراحی سایتی هستیم که هر اکانت اون برای استفاده از سایت به فروش میرسه و اگه این کار رو نکنیم توی یه مجموعه همه افراد با یک اکانت وارد سایت میشن و استفاده میکنن.

پس مشکل شما مشکل همزمانی نیست و شما باید کاری کنید که هر کاربر با یک نام کاربری و از روی یک pc خاص بتونه لاگین کنه درسته؟ چون اگر مشکل همزمانی رو حل کنید باز هم چند کاربر با یک نام کاربری در زمانهای متفاوت می تونن از سایت استفاده کنن مگر اینکه زمان استفاده از سایت مشخص باشه(در یک بازه زمانی خاص بتونن استفاده کنن).

پس مشکل شما مشکل همزمانی نیست و شما باید کاری کنید که هر کاربر با یک نام کاربری و از روی یک pc خاص بتونه لاگین کنه درسته؟ چون اگر مشکل همزمانی رو حل کنید باز هم چند کاربر با یک نام کاربری در زمانهای متفاوت می تونن از سایت استفاده کنن مگر اینکه زمان استفاده از سایت مشخص باشه(در یک بازه زمانی خاص بتونن استفاده کنن).

خب این فکر هم میتونه درست باشه، ولی بازم با چیزی که من میدونم، مثلا سیستم های توی یک شبکه با یک آی پی خاص شناسایی میشن و اینجوری هم نمیشه دسترسی رو محدود به یک کاربر کرد.

البته با همون روشی که توی پست 2 گفتم به نتایجی رسیدم، ولی خب حس میکنم اصولی نیست و باید راه حل بهتر و محکم تری هم باشه.

می تونید از ترکیب برنامه تحت وب تون با یک برنامه تحت ویندوز استفاده کنید.
اگر براتون خیلی حیاتیه می تونید یه برنامه سبک بسازید که کاربران باید اون رو دانلود کنن و با اون وارد سیستمتون بشن اینطوری بیشتر میشه محدودیت ایجاد کرد.

شما وقتی به طرف فقط یک نام کاربری و پسورد میدید دیگه نمیتونید بفهمید فردی که بعدا از اون اکانت استفاده میکنه واقعا کیه. از این نظر نمیشه جلوش رو گرفت بنظرم! یعنی با یک اکانت و پسورد ساده نمیشه. چون طرف میتونه از هر مکانی در هر زمانی لاگین و استفاده بکنه و مکان و سیستم مورد استفادهء خودش رو تغییر بده.
اما اگر منظورتون اینه که چند نفر بصورت همزمان استفاده نکنن، میشه برای این کارهایی کرد. مثلا چک میکنید اگر دو درخواست با فاصلهء زمانی کوتاه از دو مکان متفاوت ارسال شده بودن اونوقت یه عکس العملی انجام میدید. مثلا میشه IP و UserAgent و احتمالا اطلاعات دیگه ای رو درمورد هر درخواست چک کرد که متفاوت نباشن.
منظور شما دقیقا چی بوده و چه موردی هست مثلا؟ نمیشه بجاش یه سیستم دیگه پیاده سازی کرد؟ مثلا در استفادهء هر اکانت از امکانات سایت (مثلا دانلود و آپلود) محدودیت بذارید.
نهایتش شاید یه راهی مثل نصب یه برنامهء دسکتاپ که فقط روی یک سیستم خاص ثبت بشه و کار بکنه باشه. ولی اینطور برنامه ها هم بالاخره ممکنه براحتی کرک بشن.
کلا موضوع جالبی بود گفتم یخورده روش بحث و فکر کنیم بد نیست.
راستی نظیر همچین چیزی رو جای دیگه دیدید؟

ممنونم که توی این بحث شرکت کردید، راستش من جایی برخورد نکردم با این موضوع، راه حل نرم افزار دسکتاپ هم چون امنیت نداره زیاد معقول به نظر نمیرسه، با جستجوهایی که من انجام دادم یه ایده های کوچیکی به ذهنم خورده ولی خب هنوز نتونستم پیاده سازیشون کنم،
یه مثال کوچیکش همین یاهو مسنجر هست (ولی نه دقیقا مثل این) که وقتی کسی از جای دیگه وارد شد سیستم جاری ساین اوت میشه، حالا ما میخوایم که وقتی کاربری در حال استفاده از سایت هستش اگه کسی با همون نام کاربری خواست وارد بشه (فرقی نمی کنه از کجا و چه جوری) پیغام بده که مثلا این کاربر در حال استفاده از سایت است!!!

من فکر میکردم این موضوع راحت و قابل حلی باشه، ولی انگار هر چی بیشتر جستجو کردم کمتر پیدا کردم.

نظر دوستان چیه؟

حالا ما میخوایم که وقتی کاربری در حال استفاده از سایت هستش اگه کسی با همون نام کاربری خواست وارد بشه (فرقی نمی کنه از کجا و چه جوری) پیغام بده که مثلا این کاربر در حال استفاده از سایت است!!!خب اینکه میشه بنظرم. مشکلش چیه؟
مثلا وقتی هرکس وارد میشه یک آیدی طولانی رندوم بهش اختصاص داده میشه که در کوکی ذخیره میکنید (در نتیجه مقدار این آیدی با هر درخواست ارسال میشه)، اگر درخواست هایی از دو آیدی مختلف در فاصلهء زمانی کوتاه برای یک اکانت یکسان دریافت شد یعنی به احتمال خیلی زیاد دو نفر یا بیشتر دارن از اون اکانت بصورت همزمان استفاده میکنن.
برای اطمینان بیشتر از اینکه کاربر واقعا تخلف کرده میتونید مشخصات دیگر درخواست های با آیدی متفاوت رو هم ذخیره کنید. منظورم IP و UserAgent و اینطور چیزهاست تا بعدا بتونید درصورت انکار کاربر اونها رو تحلیل کنید.

خب اینکه میشه بنظرم. مشکلش چیه؟
مثلا وقتی هرکس وارد میشه یک آیدی طولانی رندوم بهش اختصاص داده میشه که در کوکی ذخیره میکنید (در نتیجه مقدار این آیدی با هر درخواست ارسال میشه)، اگر درخواست هایی از دو آیدی مختلف در فاصلهء زمانی کوتاه برای یک اکانت یکسان دریافت شد یعنی به احتمال خیلی زیاد دو نفر یا بیشتر دارن از اون اکانت بصورت همزمان استفاده میکنن.
برای اطمینان بیشتر از اینکه کاربر واقعا تخلف کرده میتونید مشخصات دیگر درخواست های با آیدی متفاوت رو هم ذخیره کنید. منظورم IP و UserAgent و اینطور چیزهاست تا بعدا بتونید درصورت انکار کاربر اونها رو تحلیل کنید.

راه حل خوبی به نظر میرسه، ولی خب بازم همون مشکلات قبلی پا بر جاست، اگه کاربر پنجره رو بست و رفت چه جوری متوجه بشیم؟ تا مثلا آیدیش آزاد بشه و از جای دیگه بتونه استفاده کنه؟

خب اگر قبلی بسته بشه دیگه انتظار نمیره بعد از آیدی جدید دوباره ازش استفاده بشه. چون از دسترس خارج شده.
فرض کنید کاربر لاگین میکنه و آیدی x بهش اختصاص داده میشه.
حالا بقول شما طرف پنجره رو میبنده و میره و از جای دیگه دوباره لاگین میکنه (با فاصلهء کوتاه مثلا) و آیدی جدیدی که بهش اختصاص داده میشه y هست.
پس ما در سمت سرور چنین درخواستهایی رو دریافت میکنیم: درخواست با آیدی x و بعد از مدت کوتاهی درخواست با آیدی y. یعنی توالی بصورت x - y
این حالت رو بعنوان تخلف ثبت نمیکنیم. تنها حالتهایی مثل x - y - x رو بعنوان تخلف احتمالی ثبت میکنیم. یعنی بعد از اینکه آیدی جدیدی استفاده شد دوباره از آیدی قدیمی تر هم استفاده بشه. یک آیدی رو میتونید همون موقع لاگین کردن فرض و ثبت کنید. فاصلهء زمانی هم نمیدونم چقدر مناسبه. مثلا 15 دقیقه. 30 دقیقه و غیره. شاید هم چند ساعت و حتی بیشتر هم باز مناسب باشه. چون مثلا طرف از خونه تا محل کار میره و دوباره این فرایند عوض شدن آیدی ها بخواد تکرار بشه مسلما بیش از چند ساعت طول میکشه. البته شما میتونید لاگین رو فقط تا زمان باز بودن مرورگر قرار بدید که این میتونه احتمال عوض شدن تصادفی آیدی رو بازهم پایینتر بیاره. ولی خب این امکان که روی یک سیستم کاربران بتونن به مدت طولانی بصورت خودکار لاگین باشن خیلی جاها لازم هست.

ممنون دوست من، فقط یه چیزی، یعنی اگه یه کاربر لاگ اوت کرد و همون موقع خواست دوباره لاگین کنه تا از بین رفتن اون کوکی باید صبر کنه، درسته؟

و این که تشخیص باز بودن یا بسته بودن مرورگر چه جوری از سمت سرور انجام میشه؟ و در این حالت اگه سایت از صفحه های متعدد تشکیل شده باشه وضعیت چه جور میشه؟

سلام
من توی "تراوین" راهی برای جلو گیری از این کار دیدم ولی خوم به دلیل باری که برای سرور داره به شخصه نمی پسندم
ولی چون این سایت کاربران زیادی داره این مطلب رو نوشتم شاید بدرد بخوره
سایت تراوین به تمام نام های کاربری اجازه ورود میده ولی در عوض در هر دقیقه لیست تعداد ورود وخروج هارو یک بار چک میکنه و اگر تشخیص بده کسی بدون خروج دوباره وارد شده خود به خود اون اکانت رو لاگاوت میکنه . شاید هم از این اکانت ها یک لیست سیاه هم تهیه کنه که بشه با توجه به تعداد تخلف و حتی در نظر گرفتن ip هایی که با اون وارد شده متوجه شد چند نفر از دارند از این اکانت استفاده می کنند

از SQL استفاده کنین. زمانی که کاربر لاگین شد ، یک TAG در Table کاربران باشد که Update شود. مثلا: IsOnline

البته کاربر ها باید حتما log Out کنن تا این TAG از حالت True به False تبدیل شود.

ممنون دوست من، فقط یه چیزی، یعنی اگه یه کاربر لاگ اوت کرد و همون موقع خواست دوباره لاگین کنه تا از بین رفتن اون کوکی باید صبر کنه، درسته؟

چه صبری؟ لاگ آوت که خیلی سریع هست.
تازه صبر هم نکنه مشکلی نداره. چون با لاگین کردن کوکی با آیدی جدید جایگزین کوکی با آیدی قدیمی میشه و دیگه درخواستی با آیدی قدیمی ارسال نخواهد شد. و از طرف دیگه اصولا معمولا سایت ها اینطوری هستن که تا وقتی طرف لاگ آوت نشده باشه فرم لاگین نمایش داده نمیشه.


و این که تشخیص باز بودن یا بسته بودن مرورگر چه جوری از سمت سرور انجام میشه؟ و در این حالت اگه سایت از صفحه های متعدد تشکیل شده باشه وضعیت چه جور میشه؟
نیازی نیست به تشخیص باز یا بسته بودن مرورگر.
با صفحه های متعدد هم مگه چه مشکلی هست؟
هر چندتا صفحه که باشه بهرحال اگر در یک مرورگر باشه ما فقط یک کوکی با یک آیدی داریم و تمام صفحات همون آیدی رو با هر درخواست به سرور ارسال میکنن.

ممنون از توضیحات خوبت، فقط این مشکل هنوز برای من حل نشده باقی مونده، یا شاید متوجه نکات شما نشدم، اگه کاربر به جای این که لاگ اوت کنه، همین جوری پنجره رو ببنده و بره، اون آیدی قبلی چطوری از بین میره؟ چه طوری تشخیص بدیم که کاربر از سایت خارج شده؟

گفتم که نیازی نیست تشخیص بدید کاربر از سایت خارج شده.
پنجره رو ببنده. خب بعدش چی میشه؟ اگر فرض کنیم با بستن پنجره کوکی احراز هویت کاربر پاک میشه بنابراین دیگه هرگز درخواستی با آیدی رندوم قبلی در سمت سرور دریافت نخواهد شد. یعنی توالی x - y - x رو در سمت سرور نخواهیم داشت. x آیدی لاگین اول هست، و y آیدی لاگین دوم.
کاربر چه دستی لاگ آوت کنه و چه پنجره رو ببنده برای روش ما فرق زیادی نمیکنه.

اگه کاربر به جای این که لاگ اوت کنه، همین جوری پنجره رو ببنده و بره، اون آیدی قبلی چطوری از بین میره؟کوکی هایی که بعنوان کوکی سشن به مرورگر فرستاده میشن میدونید چیه؟
یعنی با بسته شدن مرورگر این کوکی ها از بین میرن.
البته بازم برای ما بنظرم فرقی نمیکنه که کوکی سشن باشه یا نه.
اگر سشن باشه که آیدی با بسته شدن پنجرهء مرورگر از بین میره. اگر هم نباشه که دوباره نیازی نیست کاربر لاگین کنه چون هنوز لاگین هست. و حتی اگر مجددا لاگین بکنه چون کوکی قبلی با کوکی جدید جایگزین میشه بازم مشکلی بوجود نمیاد.

کوکی هایی که بعنوان کوکی سشن به مرورگر فرستاده میشن میدونید چیه؟



نه متاسفانه اطلاعاتی در این باره ندارم، میشه لطف کنید برام روشن کنید؟

هیچی دیگه کوکی سشن کوکی ای هست که موقع بسته شدن مرورگر بطور خودکار پاک میشه.
البته دقت کنید این سشن با اون سشن در سمت سرور و کوکیش فرق داره. اصطلاح یکی هست ولی به دوتا چیز مختلف گفته میشه.
از نقطه نظر مرورگر به کوکی ای که طول عمرش تا زمان باز بودن مرورگر هست کوکی سشن گفته میشه. ولی یه کوکی بنام سشن هم در برنامه نویسی وب مطرح هست که مربوط به سشن های سمت سرور میشه و بصورت خودکار به مرورگر ارسال میشه. اون کوکی هم زمان عمرش معمولا تا زمان باز بودن مرورگر هست، ولی میتونه اینطور نباشه.
تاجاییکه یادمه اگر کوکی رو با عدد طول عمر صفر برای مرورگر بفرستی میشه کوکی سشن.

سلام حضور دوستان، نمیدونم این موضوع برای دوستمون حل شده باشه یا خیر در هر صورت :



به خاطر این که در حال طراحی سایتی هستیم که هر اکانت اون برای استفاده از سایت به فروش میرسه و اگه این کار رو نکنیم توی یه مجموعه همه افراد با یک اکانت وارد سایت میشن و استفاده میکنن.

در چنین شرایطی، بهترین کار رعایت بالاترین نکات امنیتی و استفاده از رمزنگاری های مختلف برای حفظ اطلاعات کاربری است. اگر فرض کنیم کاربر فقط با یک آیدی و پسوورد وارد سایت میشه، وظیفه برنامه نویس اینه که این دو پارامتر رو به صورت کاملا محافظت شده ای در اختیار کاربر قرار بده و از طرفی به صورت کاملا محافظت شده ای اونا رو نگهداری کنه. بعد از اون، بنابراین، کاربر باید خودش مراقب باشه اطلاعاتی رو که داره جایی درز نکنه! و در غیر این صورت مشکل خودشه! زبان سرخ سر سبز می دهد بر باد! اصلا شاید کاربر یه پولی بده یه اکانتی بخره، دلش بخاد بده به دوستش هم استفاده کنه ها؟ مثل خرید هر چیز دیگه. چطور میخای جلوی اینکارو بگیری؟



یه مثال کوچیکش همین یاهو مسنجر هست (ولی نه دقیقا مثل این) که وقتی کسی از جای دیگه وارد شد سیستم جاری ساین اوت میشه

شما یه لامپ رو در نظر بگیر، برای این لامپ دو تا کلید روشن و خاموش تصور کن. حالا اگر فرض کنیم کلید 1 آف باشه و با کلید 2 لامپ رو روشن کنیم، به راحتی میتونی با کلید 1 لامپ رو خاموش کنی و در این صورت کلید 1 در حالت روشن قرار میگیره درصورتی که لامپ خاموش میشه!
یاهو مسنجر هم یه لامپه دیگه! چند تا دروازه ورود داره ( یاهو مسنجر، وب مسنجر، میل مسنجر و کلی نرم افزار دیگه که این مجوز رو دارن ) یاهو که تشخیص نمیده خود تو هستی یا یکی دیگه، وقتی صاحب اصلی ایدی اول لاگین کنه، و نفر دوم خواه هکر باشه یا داداش طرف، از یه سیستم دیگه لاگین کنه، یاهو مسنجر، نفر اول رو پرت میکنه بیرون! و نفر دوم به راحتی مخ زنی رو ادامه میده! البته به یه سبک دیگه! درسته؟

یه مثال دیگه، شما ایمیل رو در نظر بگیر، فرض کن با موزیلا میری به ایمیل یاهو سر بزنی، ایمیلت باز میشه و داری باکست رو می بینی، بعد مسنجر رو باز میکنی و از اونجا روی دکمه ایمیل کلیک میکنی ( مثلا یادت رفته که الان توی ایمیلت هستی) و اگر فرض کنیم مرورگر پیش فرضی که تعیین کردی اکسپلورر باشه، باز میشه و وارد ایمیلت میشه و حالا تو دو تا browser متفاوت رو به یک اکانت واحد لاگین کردی. بماند که اگر اوپرا و کروم و سافاری هم داشته باشی و هر بار یادت بره که لاگین کردی قبلا! حالا اگر هر کدوم از این مرورگرا رو ببندی ( یا اصلا با دکمه مخصوص log out کنی) توقع داری که مرورگر کناری هم log out بشه؟ اآره ؟ پس به حقوق شهروندی مرورگرا اصلا توجه نداری و واسه این دیگه اصلا راهی جز قیام وجود نداره!!

پس برو فقط روی این فکر کن که این سیستم ثبت نام و نگهداری اطلاعات کاربری رو خوب پیاده سازی کنی و خیلی وارد حیطه کاری شرلوک هولمز نشی برادر

دوستان بسیار ممنونم از راهنمایی های خوبتون.

دارم رو یک الگوریتم جدید برای CMS پیام دهی کار می کنم . اگر به نتیجه رسیدم حتما اینجا برایتون می زارم