in den Kommentaren zu einem News-Beitrag kam eine lebhafte und teilweise leider etwas unsachliche Diskussion in Gang, wie man verhindern kann, das ein gesperrter User sich mit anderen Daten neu anmelden kann. Es wurde die These in den Raum gestellt, das dies für einen Forums-Admin ganz einfach zu bewerkstelligen wäre.
Im Laufe der Diskussion landeten wir bei der Mac-Adresse als Identifizierungsmerkmal. Nicht geklärt werden konnte, wie man diese Plattformunabhängig (also unter Windows, Linux, OS X usw) mittels Script (PHP, Java...) auslesen und an die Forumsseite zwecks Blacklisting übertragen könnte. Man kam auch darüber überein, das die Mac-Adresse veränderbar und damit als sicheres Merkmal nur bedingt tauglich ist.
Außerdem wurde das Problem der verschiedenen Layer angesprochen. Auf Application-Layer Ebene ist es sicherlich ungleich schwerer, an die Mac-Adresse zu kommen, als auf IP-Packet-Ebene. Eine solche Filterung findet z.B. in einem WLan-Router statt, der eine Mac-Adressen-Filterung für den Zugang einrichten kann. Das auch diese rel. leicht umgangen werden kann, wurde anerkannt, spielt aber für die Identifizierung in einem Forum keine Rolle, da die Webserver-software an diese Informationen per se nicht rankommt und eine Analyse und Zerlegung aller eintreffenden IP-Packete zu zeitaufwendig sein dürfte.
Die Möglichkeiten von Cookies wurden erörtert. Cookies sind aber statische Textblöcke, die vom User fälschbar und löschbar sind. Außerdem lassen sie sich in jedem Browser deaktivieren. Sicherlich lassen sich Cookies für alles möglich missbrauchen, nur sind sie gelöscht oder verhindert man ihre Speicherung, dann können sie auch nicht zur Identifizierung dienen.
Im JDK 1.6 gibt es die Funktion NetworkInterface.getHardwareAddress(). Ob dieser Befehl funktioniert und ober plattformunabhängig ist, konnte ich nicht prüfen.
Ein User verwieß auf ein Buch CopmTIA Network+ (Netzwerk Grundlage) Seite 22 u.152, in dem Nachzulesen ist, wie einfach im Internet eine Workstation zu indentifizieren sei. Leider habe ich die Literatur, die wohl nach Aussage eines zweiten Users zum Umfang der MCSE-Ausbildung und Bestandteil des Kurses n10-002 sei, nicht zur Verfügung. Vielleicht mag einer der User zusammenfassend schildern, was dort beschrieben wird, damit keine Urheberrechte verletzt werden.
Aber eventuell kennt ja jemand den ultimativen Identifizierungstrick und mag uns hier erleuchten
Ich würde mich über eine sachliche Auseinandersetzung mit dem Thema freuen. Es gibt keine Dummen vorschläge nur dumme Antworten darauf.
Dieser Beitrag wurde von WaftOfSoul bearbeitet: 22. Januar 2007 - 11:02