Doubles Comptes, Que faire ?

Hé hé ouais! pas de pitié

Vous ne répondez pas vraiment à ma question. :?

J'pense personellement que permettre la création de plusieurs persos par utilisateur reduit le risque de doubles comptes. Mais tout dépends du jeu que tu comptes créer. Si c'est un véritable jeu de rôles dans lequel chaque personnage doit être joué et interprété correctement, alors ca peut limiter sensiblement (déjà que parfois, c'est pas évident de jouer correctement un rôle, alors deux ou troisencore moins. Donc si le mec se fait un autre compte, c'est soit que c'est un génie polyvalent, soit un fou p). Par contre si c'est un jdr ou il faut tuer des gens pour monter de niveau, et que le seul but du jeu (ou presque), est de devenir le plus puissant (ce qui, de suite, limite les rôles à jouer ), alors ca risque de foirer.

Le mieux reste encore de filtrer les joueurs dès l'inscription et de faire planer des menaces. Ton partenaire à probablement raison en disant que la plupart des gens, voyant qu'ils peuvent créer plusieurs persos, les créent, mais c'est à toi de voir si tu préfères voir tes joueurs se créer plusieurs persos (ce qui risque de jouer surla qualité générale du jeu) ou se créer plusieurs comptes Voila, cete fois j'ai donné ma réponse

Voici quelque chose que je viend de penser Théoriquement:

Un cookie permanent (qui n'expire pas) et qui contiend une chaine de charactère unique
(OK, c'est POSSIBLE d'effacer les cookies, mais bon, ca aide)

A la connection, le # unique contenu dans le cookie est attribué au perso dans la DB.
Puis un mécanisme de protection scan tout les user a la recherche du # unique
si ce # est trouvé: DOUBLONS !!! cette ordinateur a essayer de se connecter à 2 perso différent !!


Si ya pas de cookie, ca en créé un avec le dernier # unique qui à été stocké dans la DB pour le perso en question.
Si ya pas de cookie et pas de # attribué au perso, on créé un # au perso, et on le fou dans le cookie


Problème du systeme:

- Mon frere joue aussi, donc on a 2 perso différent !
- Je joue dans une école ou j'ai pas toujours le meme ordinateur
- Je joue dans une école et ya plusieurs joueurs de mon jeu à cette école qui jouent aussi


Voilà, sinon, je pense qu'un tel systeme pourrait etre assé efficace.. p-e trop :0\


Bon, je viend de penser ca en 2 minutes + le temps de tapper, donc c'est pas un concepte fini

lol: Quelques messages au-dessus.... Cette méthode a déjà été détaillée dans d'autres fils et sites web. Mais bon, les grands esprits se rencontrent ;-) Quand on vous dit de tout lire soigneusement avant de répondre, c'est pas pour embêter les gens hein, c'est juste pour éviter de devoir poster des "oups, j'avais pas vu..." Sinon oui, c'est l'une des méthodes à utiliser mais utilisée seule, comme toutes les autres méthodes, elle n'est pas suffisamment fiable...

ha, dsl...

en fait c'est que j'ai juste lu le titre, et j'avais cette solution en tete
j'ai lu en diagonale lachement tout les premieres réponses du genre
"ya rien qui marche vraiment" etc etc

et j'ai posté ma réponse simplement...

A savoir que je m'en fou pas mal dans mon cas, j'ai donc pas d'autre intéret à lire ce topic au complet ...
et c'est purement par générosité que j'ai répondu à cette question...
si ca déjà été dis, ben tant pis .. au moins j'aurrais pris le temps de répondre

Sur le principe je suis d'accord et tout le monde apprécie les réponses constructives, mais je trouve qu'il serait dommage de nous répéter à chaque page d'un sujet. D'autant plus que le premier post de Merrick a été suivie d'un retour d'expérience qui je suis sûr t'intéresserait, ne serait-ce que par curiosité car quelqu'un qui poste une solution est toujours très heureux de savoir ce que la mise en pratique de sa solution a entraîné ;-)

Je suis également en train de penser a cette solution de cookie:

Lors de la création d'un compte l'utilisateur recoit un cookie sans date d'expiration et contenant son ID unique.
Lors de la connexion si le cookie n'existe pas, l'utilisateur ne peut pas se connecter.

Donc si il le supprime, il doit demander au MJ de lui refournir ce cookie, simplement il n'y a le droit qu'a UN remplacement par joueur!

C'est quoi ce type de solution pour bloquer les doubles comptes ? mdr!!!

Si on veut jouer à partir d'un autre ordi (à l'école par exemple) ? Si on restaure son système d'exploitation ?

C'est bien pour ça que l'on disait que ce système n'était pas suffisamment solide pour être utilisé seule. S'il y a collision de cookie à un moment de donné, alors on peut se dire qu'il y a de grandes chances qu'un double compte ait été détecté. Et c'est déjà un début... De toute façon, rien ne peut remplacer l'expérience humaine (épluchage de logs, collisions de cookies, scruter attentivement les fiches d'inscriptions, etc.)

Moi je dis c comme les chiens, faut leur metre une puce

C'etait moi au dessus

Hum.. étrange... d'habitude on essaye d'enlever les puces des chiens et non de leur en mettre... ok ok je sors...

Je fais remonter ce post , j'ai décidé de renforcer et d'automatiser plus mon systeme de detection de doublons ( avant je faisais un recoupage avec l'ip , les mots de pass , les adresses mail et l'ordre des connections ==> cela prenait beaucoup de temps et fonctionnait avec les gros tricheurs qui doublonnaient uniquement pour en tirer un avantage immediat )

Cette nuit donc , je me suis penché sur l'adresse mac , j'en avais discuté avec gorgu ( mj d'adept ) il y a facilement un an , l'adresse mac est interessante car elle represente l'identifiant unique associé à une carte reseau , j'ai donc essayé de coder un petit script qui recupererait cette adresse sur l'ordi du joueur , bon il est important de noter que je n'ai pas reussi ( je n'ai reussi à recuperer que l'adresse mac du serveur :/ , mais l'idée y est tout de meme ( à savoir pinger l'ip , la decomposer, puis utiliser arp pour recuperer l'adresse mac , ecrire le resultat dans un fichier puis le parcourir et recuperer l'@ mac correspondant à l'ip du joueur ) , bon cela ne fonctionne pas correctement , je pense qu'il faudrait associer le script avec du javascript pour communiquer directement sur l'ordinateur du joueur sans passer par le serveur ( à noter que les fonctions ping et arp sont utilisable sur linux ou sur windows et de la meme façon et que php peut utiliser ces fonctions par l'intermediaire de la fonction systeme() )

Si quelqu'un est baleze en js , je pense qu'il y a peut etre ( en associant js avec php ) de realiser qqe chose de tres fiable dans la detection des doublons ( il est en effet plutot complexe de truander son adresse mac )

Enfin soit , je me suis rabattu sur une banale detection par cookie ( qui à defaut d'etre originale , associé à une detection par ip se revele plutot efficace )
Bilan de la matiné : 40 connection ==> 3 doublons détéctés , 2 erreurs ( du au proxy aol ) , soit 35 connections uniques.

Outre la detection par cookie+ip , j'ai aussi ajouté une detection en fonction du nom d'hote , ( fonction php : gethostbyaddr($ip) ) , en effet j'ai decouvert que ce nom d'hote sur trois ip differentes ( mais provenant du meme fai et du meme endroit ) restait identique !
Cela depends je pense du fai mais avec wanadoo par exemple , cela donne d'excellent resultat , une bonne solution je trouve pour renforcer encore la detection ( car meme en supprimant le cookie , le nom d'hote prends le relais ).

Il faudrait faire des tests avec plusieurs fai , histoire de voir si cette methode peut etre utilisée à grande echelle.

Hello,

Pour ceux qui applique le système du cookie (qui est pas mal). J'ai une petit truc en plus, dans IE 6, on peux paramétrer les cookie selon un système P3P (http://www.w3.org/TR/P3P/)

Celà pose le problème que la configuration par défaut du browser empêche les cookies d'être stockés. A moins d'avoir une compact privacy policy

ajouez cette ligne en header de vos pages avec cookie :
header('P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTRo STP IND DEM"');
(tiré des notes du manuel php et c'est une compact...)
vous stockez les cookies même si le user a définit que sa privacy est en high. S'il se met en bloquer tous les cookies, les cookies de session seront bloqués aussi... moralité il en réchappe pas

Merci d'utiliser ce truc que sur les sites de jeux

Sinon un autre moyen c'est de stocker le USER_AGENT de $_SERVER donc le nom du navigateur, par exemple, là ou je travaille personne on a tous la même adresse IP mais on n'a pas les même browser, je suis sur firefox la plupart du temps pour tester alors que les autres on IE avec les hotbars ou ce genre de daube. Ca permet de vérifier parfois, à moins que le gars change de browser pour son autre compte... (prévoir 255 caractères dans la base au moins, y en a qui sont long...)

Et enfin le sommet digne de la Gestapo, demandez à vos joueurs de donner les 3 derniers numéro de leur carte d'identité, après un mois (une fois bien accro) vous bloquez le compte et vous demander à nouveau ce numéro Mais là c'est carrément pour les naingeant de police

Voilà j'espère que ça vous a aidé et que vous saurez pas sur quel site j'ai appliqué ces techniques (celle de la carte, c'est une joke)

A+

Jim

1° peu seront d'accord avec ca
2° ca te sers strictement a rien car si il te file 3 faux numéro, tu aura trois compte sans pouvoir vérifier

compte tu réellement faire des recherches prêt des services municipaux ? lol


puis c'est lassant pour le joueur honnête... les vérifications doivent être invisible...

Salut,

Guest : On pourrait aussi imaginer un "entrez votre numéro de sécurité sociale :" C'est à la mode aux US, avec un numéro de sécurité social chez eux tu peux ouvrir un compte dans une banque... directement sur le net sans rien devoir à personne ! Voilà une nouvelle source de revenu assuré pour les jeux-online non ?

> compte tu réellement faire des recherches prêt des services municipaux ? lol

On met tous les jeux online à ce système et avec l'argent gagné sur le dos des ricains on crée une assoc pour vérifier quels joueurs font quoi in the real life avec quelques téléphonistes et des détectives privés, pis si le gars triche on envoye les SWAT un peu comme dans Brazil

Non, pour être sérieux ça me gonfle de jouer les flicards et de foutre des mouchards dans mes pages pour savoir s'il y a des tricheurs ... Mais bon, si j'étais joueur je serais très mécontent d'apprendre que celui qui a gagner la partie avait en faite deux compte sur la même partie et qu'il se favorisait....

Quant au header P3P dans ce cas, ça ne demande justement rien à l'utilisateur, en gros la compact privacy policy dit que tu stock pas de données personnelles... Ceux qui sont pas d'accord d'avoir ça comme header dans mes pages peuvent aller jouer à n'importe quel autre jeu je sais pas moins les SIMS ou ils peuvent acheter un tamagochi...

A+

Jim

Le problème avec les adresse mac est double:

1) Une addresse mac peut se changer, donc c'est pas infaillible, mais ca aide grandement déjà
2) Le java script est Client-Side, donc c'est envisageable, mais je crois pas et j'ai jamais vu un java script pouvoir faire un tel tour.
L'idée d'utiliser une requete ARP est tres peu envisageable, sauf si tu à un serveur dédier que tu recoderais, car sinon c'est strictement impossible.



EDIT: Je vais de faire une recherche éclair, et non, c'est IMPOSSIBLE de trouver le Mac via un java script. Un applet ou un activeX pourrait cependant, au détriment de la compatibilité

Si jamais tu trouve cependant, donne moi en des nouvelles, mais ca serait vraiment... ouf !

Une solution que j'applique...

Un compte par famille (ou par pc).

Cela est assez restrictif mais évite que bon nombre de personnes créent des comptes pour leur frere, leurs parents, leur chat...

De plus, il est fortement conseillé de ne pas se connecter "régulièrement" à plusieurs d'un même pc.

Disons que près de 20% des inscriptions sont des doublons... et sont donc supprimés.
Sans cela, le nombre d'inscription aurait facilement doublé...

Cela ne sert à rien d'avoir des milliers d'inscriptions si ça ne représente pas le vrai nombre de joueurs. De plus, tout cela alourdi considérablement la base de données.

l'adresse mac est recuperable uniquement sur dedié moyennant une lourde modif au niveau d'apache et/ou du firewall. en fait il faut récuperé l'information avant apache. grosse galére. cela a tourné un temps mais demandais beaucoup trop de ressources. (pis aprés je me suis fait hacké ;p donc total reéinstall de la debian et abandon)

Cela marchais superbement au niveau résultats mais j'ai une autre solution

le plus souvent, le petit malin, va supprimé son cookis: truc@adept.jouer.org.txt
dans le quel on avait planqué l'identifiant unique (appelé aussi n° de session )

il se reconnecte et se fait planter tout de même pkoi?

car vous avec un autre nom de domaine. truc@toto.org qui a mis un petit cooki mais qui est en fait le même site.

cela permets de trouver 70% des supprimeurs de cookies.

reste les puristes mais bon si ils passent leur temps a réinstaller leur systéme pour pouvoir doublonner... et ceux qui ont plein de pcs.

pour ma part, j'ai supprimé la detection automatique mais vu mes detections récentes je vais remettre cela en place.

j'ai déjà proposé cela à nainwak et nous bossons dessus mais... pkoi ne pas faire une black list d'email commune?
le principe serait simplicime, une petite image rouge ou rouge+ un chiffre sur le nombre de sites qui blacklistent cet email. si l'email est black listée, verte adresse inconnue.

ensuite, sur votre formulaire de validation d'inscription vous placez une image avec src
http://www.jouer.org/ban.php?q=email

et vous savez si elle est bannie de jouer.org en tout cas

pas de soucis avec le cnil car il n'y a aucune information personnelle fournie.

reste à définir la procédure d'ajout mais cela je le mettrais pas sur un forum public

ensuite pour la prévention il suffit de se créer un gros logo qui fait peur

Attention quand meme a l'aspect legal de la chose... L'adresse email constituant une information nominative, s'il est deja tres limite de stocker/traiter des emails dans son coin, il est totalement illegal de se les echanger entre entites... (je ne pense pas que cela releve de la declaration simplifie au pres de la CNIL)

ben justement... on echange rien.

chacun garde ses comptes dans son coin avec une base qu'il déclare à la cnil etc.

tu permets juste l'intérogation et tu as en réponse un vert ou rouge.

cela ne donne aucune information personnelle et tu n'aura aucun moyen d'obtenir la liste des mails.

ce n'est pas seulement la conservation ou la cession de données qui est régie mais aussi l'utilisation
genre analyses croisées ils aiment pas trop je crois

Je ne pense pas que la declaration simplifiee regisse ca (vu qu'il s'agit bien d'un traitement)... donc ca ne change pas grand chose au probleme.

barf... dommage ..
lol je viens de faire un tour sur le site de la cnil et y a un gros article sur les listes noir en premiere page

hum... il faudrait alors constituer une association commune avec déclaration commune etc etc... c'est lourd...

barf, je vais imposer l'image rétinienne pis c'est tout, ils iront prendre en photo les retines de leurs voisins si il faut