[WaftOfSoul]

Hallo,
in den Kommentaren zu einem News-Beitrag kam eine lebhafte und teilweise leider etwas unsachliche Diskussion in Gang, wie man verhindern kann, das ein gesperrter User sich mit anderen Daten neu anmelden kann. Es wurde die These in den Raum gestellt, das dies für einen Forums-Admin ganz einfach zu bewerkstelligen wäre.

Im Laufe der Diskussion landeten wir bei der Mac-Adresse als Identifizierungsmerkmal. Nicht geklärt werden konnte, wie man diese Plattformunabhängig (also unter Windows, Linux, OS X usw) mittels Script (PHP, Java...) auslesen und an die Forumsseite zwecks Blacklisting übertragen könnte. Man kam auch darüber überein, das die Mac-Adresse veränderbar und damit als sicheres Merkmal nur bedingt tauglich ist.
Außerdem wurde das Problem der verschiedenen Layer angesprochen. Auf Application-Layer Ebene ist es sicherlich ungleich schwerer, an die Mac-Adresse zu kommen, als auf IP-Packet-Ebene. Eine solche Filterung findet z.B. in einem WLan-Router statt, der eine Mac-Adressen-Filterung für den Zugang einrichten kann. Das auch diese rel. leicht umgangen werden kann, wurde anerkannt, spielt aber für die Identifizierung in einem Forum keine Rolle, da die Webserver-software an diese Informationen per se nicht rankommt und eine Analyse und Zerlegung aller eintreffenden IP-Packete zu zeitaufwendig sein dürfte.

Die Möglichkeiten von Cookies wurden erörtert. Cookies sind aber statische Textblöcke, die vom User fälschbar und löschbar sind. Außerdem lassen sie sich in jedem Browser deaktivieren. Sicherlich lassen sich Cookies für alles möglich missbrauchen, nur sind sie gelöscht oder verhindert man ihre Speicherung, dann können sie auch nicht zur Identifizierung dienen.

Im JDK 1.6 gibt es die Funktion NetworkInterface.getHardwareAddress(). Ob dieser Befehl funktioniert und ober plattformunabhängig ist, konnte ich nicht prüfen.

Ein User verwieß auf ein Buch CopmTIA Network+ (Netzwerk Grundlage) Seite 22 u.152, in dem Nachzulesen ist, wie einfach im Internet eine Workstation zu indentifizieren sei. Leider habe ich die Literatur, die wohl nach Aussage eines zweiten Users zum Umfang der MCSE-Ausbildung und Bestandteil des Kurses n10-002 sei, nicht zur Verfügung. Vielleicht mag einer der User zusammenfassend schildern, was dort beschrieben wird, damit keine Urheberrechte verletzt werden.

Aber eventuell kennt ja jemand den ultimativen Identifizierungstrick und mag uns hier erleuchten
Ich würde mich über eine sachliche Auseinandersetzung mit dem Thema freuen. Es gibt keine Dummen vorschläge nur dumme Antworten darauf.

Dieser Beitrag wurde von WaftOfSoul bearbeitet: 22. Januar 2007 - 11:02

[flo]

Kurz und gut, es gibt dafür keine ultimative Lösung

MAC Adress Filter sind leicht zu umgehen, IP Filter auch.

Davon abgesehen, im WAN spielt die MAC überhaupt keine Rolle, höchstens im LAN

Dieser Beitrag wurde von Flo bearbeitet: 22. Januar 2007 - 11:07

[WaftOfSoul]

Welche Ansätze und Lösungen könntest Du Dir denn vorstellen?
Technische Lösungen wollen mir garnicht einfallen. Zumindest keine, die sich nicht sofort und ohne Aufwand umgehen lassen.

Eine Filterung wäre in meinen Augen eigentlich nur auf sozialer Ebene möglich, in dem der Admin schaut, wer sich nach der Sperrung anmeldet und wie er sich verhält. Also welche Foren ließt er, wo antwortet er und wie antwortet er.

[WaftOfSoul]

Die Ermittlung über IP und Provider setzen ja schon eine strafrechtliche Relevanz voraus, die über das allgemeine pöbeln und trollen weit hinaus gehen. Ein Provider wird den Eigentümer einer dynamischen IP ja nicht jedem herraus rücken, sondern nur den Ermittlungsbehörden und auch nur nach richterlicher Anordnung. Die Diskussion um Verbindungsdatenspeicherung sind noch immer nicht abgeschlossen und Datenschutzrechtlich nicht wirklich geklärt.

Aber schon mal vielen Dank für Eure Ansätze. Vielleicht kommt ja noch ein findiger "Hacker" und zeigt uns einen Weg, wie man tatsächlich einzelne Maschinen im WAN-Netz identifizieren kann.

[kirsche40]

 Zitat (WaftOfSoul: 22.01.2007, 12:37)

Die Ermittlung über IP und Provider setzen ja schon eine strafrechtliche Relevanz voraus [...]. Ein Provider wird den Eigentümer einer dynamischen IP ja nicht jedem herraus rücken, sondern nur den Ermittlungsbehörden und auch nur nach richterlicher Anordnung. Die Diskussion um Verbindungsdatenspeicherung sind noch immer nicht abgeschlossen und Datenschutzrechtlich nicht wirklich geklärt.

Das hat sich mittlerweile geändert. Letzte Woche wurde dazu im Bundestag ein neues Telemediengesetz verabschiedet, das den Zugriff auf Daten ohne richterlichen Beschluß vorsieht. Es gibt aber schon Gegenwind.

 Zitat (WaftOfSoul: 22.01.2007, 12:37)

Aber schon mal vielen Dank für Eure Ansätze. Vielleicht kommt ja noch ein findiger "Hacker" und zeigt uns einen Weg, wie man tatsächlich einzelne Maschinen im WAN-Netz identifizieren kann.

Die IP ist ebenfalls nicht wirklich hilfreich. Stichwort TOR.

Dieser Beitrag wurde von kirsche40 bearbeitet: 22. Januar 2007 - 13:04

[WaftOfSoul]

Vielen Dank für den Hinweis, mir war doch so, als hätte ich erst in letzter Zeit was zu Tor gelesen.

Dem Fazit nach ist Tor zwar nicht der Weisheit letzter Schluß aber der praktikableste Weg zwischen Anonymität und Performance. Auf alle Fälle erschwert es die technische Identifizierung deutlich und fordert einen nicht unerheblichen Aufwand. Das macht wirklich erst bei schweren Verstößen Sinn.

Einem unbedarften User kann man schon mit Tracking-Cookies beikommen aber deren Zahl verringert sich, seit Mainstream-Computermagazine über sowas berichten.

[Bernd Stromberg]

Wie schon gesagt wurde, das beste ist den User einfach immer wieder zu löschen ohne wütend zu werden, denn dann hat er sein Ziel erreicht.

Ich hatte vor 2 Jahren eine große Community. Da gab es auch jemanden der es ziemlich weit getrieben hat. Nach einiger Zeit habe ich den Persönlich besucht, war natürlich nen kleines 16 Jähriges Kind. Seitdem hatten wir ruhe.

[Rumulus]

[size=6]Hier nur eine von vielen Möglichkeiten, die meisten von euch können damit wahrscheinlich nichts anfangen, ich bin aber davon überzeugt, dass die WinFuture Admins dankbar sind. Dafür bekomme ich normalerweise Geld!!!! Ich möchte hier noch anfügen, das ich es sehr dumm finde in einem Forum zubaupten, dass man Leute nicht wirkunsvoll ausschliesen kann. Ist gerade zu eine Einladung für Trolle!


Beschreibung:

Dieser Hack prüft jedesmal wenn ein User auf einen Beitrag antwortet,
ob derselbe User mit derselben IP schonmal unter einem anderen Nick gepostet hat.
Falls dieser User wirklich mehrere Nicks verwendet bekommt der Administrator
nun eine Mail mit dem Hinweis zugesendet.

(Geprüft werden aus Performance Gründen nur die letzten 130 Postings, was man
bei größeren Foren im Query etwas hochstellen sollte!)


Installation:

einfach folgenden Code in der reply.php vor // email zeug hinzufügen:


Quellcode:
// Kampfnick Check by WinFuture.de
$knicks = NULL;
$k_post = thwb_query("SELECT userid, postip FROM ".$pref."post ORDER BY postid DESC LIMIT 0, 130");
while( $kpost = mysql_fetch_array($k_post) )
{
if ( $kpost['userid'] != $g_user['userid'] && $REMOTE_ADDR == $kpost['postip'] )
$knicks .= "$kpost[userid], ";
}
if (isset($knicks))
{
@mail("$config[board_admin]","Kampfnick Hinweis ( IP Match!)","Kampfnick Hinweis\n\nUSER: $g_user[username] (Userid: $g_user[userid])\nIP: $REMOTE_ADDR (".gethostbyaddr($REMOTE_ADDR).")\n\nhat gerade mit derselben IP wie\nUserid: $knicks gepostet!","From: $config[board_admin]");
}

Features:
- falls ein User sogar noch mehr als einen weiteren Nick verwendet werden alle Nicks mit Kommata getrennt in der Mail aufgezählt
- beachtet die augelöste IP - falls es sich hier z.B. um ein Anonymizer handelt kann es leicht sein das die beiden User denselben Proxy / dieselbe IP verwenden.

wer noch ein bisschen sicherer gehen möchte kann das ganze auch zusätzlich in die newtopic.php einbauen; da Kampfnicks allerdings meistens in Diskussionen verwendet werden genügt imho das ganze in der reply.php

Gruss Rumulus

[flo]

@Rumulus

falls es bei dir noch nicht angekommen sein sollte, die Provider vergeben dynamisch IP Adressen, spätestens nach 24 Stunden hat man ne neue...

Ansonnsten sehen wir die Ips und wenn uns was komisch vorkommt dann prüfen wi die...

Dieser Beitrag wurde von Flo bearbeitet: 22. Januar 2007 - 23:37

[Rumulus]

Ich habe geschrieben, das dies nur eine von vielen Möglichkeiten ist. Es war auch nciht in meinem Sinn, eine Maasgeschneiderte Lösung für WinFuture zuliefern, wollte nur eine von VIELEN Möglichkeiten aufzeigen.

[WaftOfSoul]

Rumulus,

das ein Posting einer IP zugeordnet werden kann ist bekannt. Ein schickes PHP-Script, das IPs alter Postings mit denen aktueller vergleicht ist schnell geschrieben. Aber wie Flo schon sagte, es fehlt an der Nachhaltigkeit. Dynamische IPs ändern sich, IPs können verschleiert oder gefälscht werden usw usf. Die Anzahl der potentiellen falschen Alarm-Mails überwiegt die Menge der positiven Alarme bei weitem. Je größer und aktiver das Forum umso unverhältnissmäßiger ist die Ausbeute. Meine Firma ist nach außen nur über eine IP zu sehen, dahinter stecken aber über 1000 Arbeitsplätze. Nicht, das die alle posten aber wer möchte das ausschließen? Kollateralschaden? Eine gleiche IP (insbesondere bei Zeitnähe) ist sicherlich ein mögliches Indiz, allerdings ein sehr schwaches.

Solche Mechanismen offen zu diskutieren ist sicher keine Einladung für Trolle. Auch ist das konsequente löschen von unbequemen Accounts keine Lösung für das soziale Problem, was mit der Technik ja erstmal nichts zu tun hat. "Trollen" kann man auf anderen Ebenen wesentlich besser beikommen und für ihr Handeln sensibilisieren. Breaker und Bernd Stromberg haben die persönliche Ansprache genannt, die sicherlich am effektivsten ist. Bei strafrechtlichen Verstößen möchte man aber jemanden draußen haben und halten.

Anmerkung: Bei meiner Flat ist zwar auch eine dynamische IP drin, aber ich hab keine Zwangstrennung nach 24h. Was mich aber nicht daran hindert, meinem Router zu sagen, er solle sich eine neue IP holen. Eine Frage von Sekunden.

Ich kenne auch keinen Foren-Admin, der Accounts wegen lästigen postings oder dummen Sprüchen gelöscht hätte. Nur einmal wurde ein Log an die Kripo übergeben und die haben das mit der Nachhaltigkeit gelöst

Hmm, Du meinst, es gibt viele Möglichkeiten, warum zum Henker finde ich im Web keine? Nicht auf Forenseiten, nicht auf PHP Seiten oder Java. Ja, ich weis schon, ich bin zu dösig zum suchen, aber davon abgesehen sehe ich mit dem, was von einem Webserver über einen Client zu erfahren ist keine gesicherten Merkmale, die zu einer sicheren Verhinderung von Doppelanmeldungen dienen könnte. "Kampfnicks" (fürchterliche Wortkreation, hat was von Killerspielen), die Zeitnah zur Löschung oder zu einer Auseinandersetzung erzeugt werden lassen sich so vielleicht leichter finden, aber bestimmt nicht sicher. Es sagt ja keiner, das man sie nicht finden kann, es ging darum, die Erzeugung dirket zu verhindern.

Dieser Beitrag wurde von WaftOfSoul bearbeitet: 23. Januar 2007 - 00:14

[Gitarremann]

@Rumulus
das problem ist ein anderes: ein user stört und sein profil wird vom admin gelöscht. nun erstellt sich der bösewicht einfach am nächsten tag ein neues profil und das soll verhindert werden und da funktioniert nix, was über die ip realisiert wird.