1

私は小さな成長している産業協会のウェブマスターです。間もなく、制限付きのメンバー専用セクションをWebサイトに実装する必要があります。

問題は、私たちの組織のメンバーシップには、大企業とアマチュアの「クラブ」の両方が含まれていることです(これは比較的新しい業界です…)。

これらのクラブが、当社のWebサイトへのログオンに使用するログインIDを共有することは明らかです。問題は、メンバーの1人が通常はWebサイトにアクセスすることを想定していないユーザーとログイン資格情報を共有するかどうかを検出することです(このようなクラブがメンバー全員をWebサイトにアクセスさせることに異論はありません)。

使用するOSとブラウザだけでなく、IPアドレスにサインオンするたびにログに記録することを考えました。OS /ブラウザが一定であり、たとえば10個以下の異なるIPアドレスがある場合、アカウントは非常に少数の異なるコンピュータによって明らかに使用されます。

しかし、50のOS /ブラウザの組み合わせと150の異なるIPがある場合、資格情報は明らかに遠くまで広まっており、パスワードの変更などの訴訟の原因となるでしょう。

もちろん、一方的にパスワードを変更するのは非常に面倒です。そこで、この問題については、「クラブ」が自分のサブアカウントのリストを管理できるようにすることを考えました。したがって、悪用が疑われる場合は、責任のあるユーザーを簡単に特定でき、この「サブメンバー」だけがパスワード変更の煩わしさに直面します。

質問:そのようなアプローチで誰もが目にする可能性のある問題は何ですか?

4

1 に答える 1

1

各クラブ メンバーに登録を強制できない特定の理由はありますか? おそらく、ユーザーが登録するときに使用する何らかのコードを各クラブに与えて、自動的にアカウントを作成してクラブに関連付けることができますが、クラブが自分で管理しなければならない面倒なプロセスなしで、各メンバーの直接会計を行うことができます. そうすれば、特定のアカウントが拡散されているかどうかを判断するのがはるかに簡単になります (特定の期間における異なる IP アクセス)。

明らかに、必要に応じて、クラブごとの提携アカウントの数に制限を設定することもできます. これは基本的にあなたが提案したことだと思いますが、可能であれば、面倒な管理タスクをユーザーの手に渡さないようにします。クラブ関連のサインアップを管理できる場合は、クラブの誰かに管理を強制するのではなく、管理する必要があります。

また、IP と資格情報に基づく何らかのヒューリスティックはおそらく問題ありませんが、ユーザー エージェントを組み込むことは避けるか、少なくとも気にしすぎないようにします。予想されるユーザーベースにもよりますが、同じ IP からいくつかの異なる UA が表示されることは、それほど珍しいことではありません。私は、ウェブサイトのバグなどのために 1 日のうちにいくつかのブラウザーを使用しています。誰かがマシンをプロキシとして使用していない限り、悪意のある証拠にはなりません。

于 2009-11-18T06:03:14.053 に答える