Anmeldung von Benutzern limitieren und protokollieren

[huhn]

Hallo,

aktuell kann man sich mit den Benutzerdaten ja zeitgleich auch mehrmals anmelden und in den Einstellungen wird auch nur die letzte IP Adresse gespeichert.
Wie kann ich denn sicherstellen, das man sich nur einmal mit den Nutzerdaten zur selben Zeit anmelden kann. Durch die Anzeige, wer Online ist, ist ja eindeutig erkennbar welcher Benutzer aktiv ist. Könnte man darüber hinaus auch noch eine History hinbekommen, von welchen Adressen (z.B. die letzten 10) sich der Benutzer wann angemeldet hat?

Gruß huhn

[gn#36]

Das Thema hatten wir in anderem Zusammenhang schon mal. Das ist nicht so einfach. Die erste Frage wäre schon mal, was denn überhaupt "gleichzeitig" ist. Denn der Download der Seite geht sehr schnell und dann folgt ja erst einmal eine ganze Zeit lang Lesen/Posten/etc, was aber keine Interaktion mit dem Server erfordert. Daher müsste man erst mal festlegen was gleichzeitig ist, Zugriffe von mehreren Rechnern im Zeitraum Y. Du hast zwar recht, dass in phpBB eine Annahme über die Online-Dauer getroffen wird um z.B. die "Wer ist online" Anzeige zu realisieren, aber wenn du Leute auf Basis dieser Daten aussperren willst solltest du das etwas genauer festlegen. Wenn du die Rechner lediglich anhand ihrer IP voneinander trennst, dann könnte es gut sein, dass du einige Fälle verpasst, z.B. wenn mehrere Personen im gleichen Haushalt oder aus der gleichen Firma heraus den selben Account benutzen. Du solltest also mindestens noch ein paar Browsereigenschaften hinzunehmen (was dann aber z.B. auch zur Folge haben könnte, dass ein und der selbe Nutzer am selben Rechner sich durch ein Browser-Update oder einen Browserwechsel zeitweilig aussperrt).

Wenn die Lösung einfach umzusetzen und trotzdem sicher sein soll, bedeutet sie grundsätzlich einen Komfortverlust für die Nutzer. Immer wenn ich innerhalb von kurzer Zeit den Rechner wechseln will (z.B. wird mir der Tabletzugriff zu lästig und ich will auf den PC welchseln, oder ähnliches) muss ich daran denken mich vorher auszuloggen, oder ich darf für eine gewisse Zeit nicht rein. Wenn man das Problem mittels Javascript behebt (z.B. indem man regelmäßige Nachrichten per AJAX an den Server sendet) ist das System sofort nicht mehr sicher, denn man muss nur die entsprechenden Skripte blockieren und schon kann man sich wieder mehrfach einloggen (oder je nach Skript muss man evtl. andere Aktionen ausführen, aber wenn man will kann man das alles umgehen).

Eine History könnte man sicherlich relativ leicht realisieren. Würde ich aber nicht machen. Das Speichern der IP ansich ist eigentlich schon vom Datenschutz her problematisch. Dann noch ohne zwingende Notwendigkeit mehr IP Adressen als nötig zu speichern ist keine gute Idee.

Ach ja, vorgefertigte Lösungen hierfür kenne ich nicht.

[Charlie_M]

Dürfte der IPTRACKER deinen Wünschen nahezu entspechen:
http://www.a-y-c-e.de/viewtopic.php?f=19&t=40499

Um ein überfluten der Ip Tracker Tabelle zu verhindern kann die Logbereinigung eingestellt werden.
Funktionsumfang:•Zeitraum für Logaufzeichnung um eine Überflutung zu verhindern.
•Einstellen welche Benutzertypen geloggt werden sollen.
•Benutzertypen können direkt gelöscht werden.
•Bis zu 10 Suchmuster können gespeichert werden
•Suche mit Wildcard
•Suche mit REGXEP
•Suchmuster können explizit ausgeschlossen werden
•Suche gruppieren
•Durchsucht den Ip Tracker nach mehrfach genutzten Benutzer Accounte von einer IP Adresse.

Über den rechtlichen Teil darf sich der TS selber kümmern

[huhn]

Hallo Charlie_M,

Dürfte der IPTRACKER deinen Wünschen nahezu entspechen:

Danke für den Hinweis, das Dingen sieht von den Features ja ziemlich gut aus und übererfüllt sogar meine Ideen dazu. Ich werde das heute mal auf meiner 3.0.11 Version ausprobieren. Wieso liegt die Erweiterung eigentlich extern und nicht in der Mod Datenbank?

Gruß huhhn

[Miriam]

Die MOD Datenbank auf phpbb.de wurde eingestellt.


Nochmal zurück zur Kern-Thematik:

Wie kann ich denn sicherstellen, das man sich nur einmal mit den Nutzerdaten zur selben Zeit anmelden kann.

Du könntest hier fündig werden: Mehrfach LoggIN über einen Account verhindern?


// Rechtsschreibfehler gekillt.

[huhn]

Hallo gn#36,

ich hatte mir gedacht, das es dieses Thema schon mal gab, daher war ich auch verwundert, das mir die Suche keine passenden Einträge dazu ausspuckte.

Eine 100% Sicherheit/Kontrolle wird es nie gegen, das ist mir auch klar. Ich denke eine 80% Lösung reicht auch aus, um das nötige Maß an Sicherheit zu erhalten. Ich denke daher genau an die von Dir zunächst vorgeschlagene pragmatische Lösung. Die aktuell genutze IP-Adresse bzw. zuletzt genutzte IP wird dem Nutzer bereits zugeordnet, hierüber wäre es somit möglich eine Beziehung zwischen aktiver Session und IP Adresse aufzubauen. Zwei oder mehr Sessions über einen Account und gleicher IP würde ich somit akzeptieren, da in diesem Falle auch die Nutzung von einer Person über mehrere Devices/Browser möglich und zulässig wäre. Einzig die Nutzung eines Accounts von unterschiedlichen IP-Adressen, die idR. auch geografisch auseinander liegen dürften, würde ich gerne unterbinden.

Gruß huhn

[gn#36]

Danke Miriam,

das Thema wurde offensichtlich noch viel öfter diskutiert als ich dachte

@huhn: Schau dir einfach das von Miriam verlinkte Thema an, da solltest du deine Lösung finden.

[huhn]

Perfekt. Damit bin ich mehr als zufrieden und werde das mal in Ruhe ausprobieren.
Vielen Dank für die Hinweise!