« Консерваторы | Main | Стартап-турнир от Амазон »

авг. 11, 2010

Comments

Feed You can follow this conversation by subscribing to the comment feed for this post.

Rencontre pour le sexe free porn gratis

В SaaS "Ваш финансовый аналитик" мы пошли именно по пути ограничения одновременного использования продукта. Т.е. проверяем сессии и ругаемся, если одновременно пытается зайти второй человек. Раздавать пароль зная, что человек может зайти, а ты останешься за дверью - хороший стимул не раздавать. Да, по мелочам можно договориться с другом, что сегодня я юзаю сервис, завтра ты. Но массово раздавать - себе проблемы.

Все лучше, чем цифровые подписи в современном их виде да еще в России. Сегодня ставил новый клиент-банк от Райффайзена - обплювался (криптопро, сертификаты, то то не так, то это, танцы с бубнами, только IE и т.п.). Искренне жаль бухгалтера, которому приходится пользоваться такими "технологиями 21-го века".

предлагаю корректировать ввод, собирать вводы в общий поток и слать всем одновременным сессиям - пусть мучаются все лишнии сессии, при этом не лишая друг-друга поочерёдного пользования и создавая проблему private'а ... но против пользования по расписанию не поможет, если только не сделать повтор всех действий в текущей сессии из предыдущей при использовании с другого/нового места под видом восстановления предыдущей/потерянной сессии (пусть запаривает каждого последующего предыдущим + делая полезное дело где-бы не бросили предыдущую сессию)

оплата должна быть за операции, пользователь может купить определенное кол-во не меньше определенного минимума.

имхо, это решает проблему несанкционированного использования мощностей.

и чем всё закончилось

Вариант - новая сессия - 100р. одна сессия в месяц бесплатно.
Если что, мне 10% :)

Сражен или не сражен.. что кому-то очевидно, то другому неведомо :)
Лучший вариант - банить нафиг, при подозрении на множественное использование аккаунта. То, что одновременно может работать одна сессия это банальность, но скорее всего она необходима и без нее нормально подобное ограничение работать не будет, смс и её содержимое тоже можно выложить в интернете. Если цена вопроса позволяет, то можно хоть токены выдавать пользователям сервиса, не знаю правда, как их подцепить к браузеру, но наверняка придумать можно. Можно адреса, откуда можно коннектиться, прописать в договор и только с них и давать доступ. Вариантов уйма, нужно только понимать насколько это будет неудобно пользователям, на достенет ли их настолько, что они перестанут пользоваться сервисом. Отваливание сессии при повторном логине не менее достает, чем если бы у меня телефон надрывался от СМС.

1 логин = одна сессия, при повторном логине первая сессия сбрасывается, одна сессия = 1 ip.

Может http://enum.ru/ ?

может пример/модель не удачная всё же

далее тоже не понятно- вам нужно чтобы они все же приобрели индивидуальные аккаунты или вам нужно не путаться с такими активными-разношерстными аккаунтами при выявлении мерзавцев
>Там каждый аккаунт стоит денег, а в принципе можно работать всей конторой под одним аккаунтом.

Я показал модель: есть некий сервис, который никак больше не монетизируешь, только per user flat rate и предложил как бороться с фродом. Например, это Salesforce CRM. Там каждый аккаунт стоит денег, а в принципе можно работать всей конторой под одним аккаунтом.

Я не технарь, я коммерсант и мне странно видеть такую дилемму.

Если действительно риск фрода велик и этот фрод действительно может повлиять на проект, так не проще ли использовать экономические, а не технические методы?

Т.е. сделать тариф за пользование не flat rate, а исходя из объема потребленных услуг. Таким образом если пароль утечет в сеть, то деньги за использование сервиса компания все равно получит, а задача охранять пароль будет великолепно исполнятся тем юрлицом, которое за него платит.

Хотя, конечно, это зависит от специфики сервиса, в которую Петр нас не посвятил.

Срубать вторую сессию все равно нужно - профилактически.
При появлении признаков фрода [частый логин из географически совсем разных мест, более трех компьютеров (рабочий, ноутбук, нетбук - больше точно никому не надо), перерасход средней квоты] - автоматическая смена пароля с отсылкой на указанный телефон/email. С одной стороны, это избавит честного человека от анального рабства с one time passwords, с другой - нечестный будет все так же умучен постоянными сменами пароля.

Мне кажется,что надо отталкиваться от специфики каждого SaaS -сервиса отдельно. Технически проблему раздачи логинов просто так думаю не решить,поэтому надо,чтобы пользователь просто НЕ ХОТЕЛ давать свой логин. С почтой все понятно (никто не хочет,чтобы читали его переписку), а для другого сервиса надо смотреть на его специфику.

правда распозновалка людей это как грабля - с чего вдруг у чуваков не посменный режим работы/пользования на том же рабочем месте (отпуски/больничные и тп), запарить их покупкой ещё одной лицензии/юзера

пункты 1.-5. напоминают путь создания геморного банк-клиента, но у тех хоть использование файлов ключей как-то оправдано и по опыту украины даже двумя - даже jre мозги u6ym

без конца менять челу пароль за его разношерстную активность - это потерять клиента без гарантий получить мерзавцев в клиенты

от потчёта трафика уже давно отказались на безлим тарифах (у небезлим в цене содержится стоимость ресурсов на это) - по возможности это на стороне клиента, как у sap

бонусировать чем-то пользователей за пассивность это как возвращать деньги

похоже в сеансе придётся показывать постепенно мутирующие (за весь сеанс) изображение и в следующей сессии непонятно в какой момент попросить раставить наиболее запоминаемые (diffrent) моменты/кадры в нужной последовательности - пусть хоть два из пяти (или одна первая или последняя) правильно будут стоять уже тот же чел ... подать как защиту и тренировалку памяти, но заставить пользоваться не получется

А может вообще не по пользователям учитывать, а по заведенным юрлицам или количеству операций, размеру базы, проводкам, количеству контр-агентов (везде или, а то мозг вскипит)? Много пользователей в одном аккаунте явно для того, чтобы сделать много работы по цене халявы, вот по объемам работ их и ограничивать. Сложнее, зато гибче и попутно можно разных по потребностям пользователей по разному тарифицировать, как то же Microsoft :)

Вообще мне кажется что при поставленных условиях задачу не решить. Ну нету у нас интернет паспортов пока :) А если надо снизить вероятность и не навредить то можно тихонечко отслеживать с каких IP адресов человек заходит в систему. У одного человека врядли наберется слишком много адресов подсетей. А в случае массового обмана и адресов наберется сразу по многу. Конечно имеет смысл учитывать подсети всяких йот и прочих билайнов и не бить за них. Мониторим людей (если конечно это не считается персональными данными), и в случае аномального поведения с множеством адресов (и с одновременными сессиями как дополнительным признаком на которые мы допустим смотрим сквозь пальцы, чтобы не тревожить пользователя) говорим пользователю "Уважаемый, скорее всего злые люди похитили у вас пароль. Это очень страшно и вообще. Получите новый." И относительно мягко и самых свирепых с блогами и варезниками можно отсечь (ну кроме уж совсем фанатов, но таких видимо можно будет отлучить от системы на юридических основаниях).

хе-хе, проблема microsoft догнала/нашла вас - как сделать чтобы пипл поочерёдно не пользовался в терминале office/services ;)

для тех кто не понял - боремся с поочерёдным многопользовательским юзом, чтобы один купивший акк/логу/доступ по schedule не пустил всех своих друзей в сервис а юзал только в одного наиболее комфортно с разных мест не вводя/делая ничего лишнего ... теоретически ему ничего не мешает сделать терминальный доступ на этот единственный акк, не типично высокая нагрузка по акку конечно замониторится но блин заплачено же

sms и faceapi авторизация конечно не вариант (хотя фото-маска и автоматическая пересылка смс работают) - всё остальное обезличено и не позволит поймать мерзавцев

а ещё хочется сделать общий ценник, не вводя cloud-billing пользователям в мозг и фактически разгоняя их тк никто не знает как он наюзает всё же

даже если сделать какой-нибудь контрольный вопрос формируемый из данных предыдущей сессии - реально запарит же отвечать, хотя если оформить как защиту при угоне доступа (защищаемся от чела который моз залесть за вас), но всё равно запарит же особенно на коротких сессиях ... мутация пароля аналогично, потом придётся pinы и pukи придумывать тк мутацию утром после плотного вечера можно не вспомнить (многие не помнят какой пароль на bois поставили перед сном, а после больницы так ваще)

пока дальше придумываю....

Если приложение позволяет, некоторые настройки делать "зашитыми", заполнять только при регистрации и не позволять их изменять.
Например в программе для печати на бланках доверенностей (видел я однажды такую) нельзя изменить название организации.

Отправлять смс - это лишнее раздражение пользователей, лично я такие сервисы стараюсь избегать. Считаю, что такой способ оправдан только для очень критичных действий, например операции с деньгами.

Не вполне уверен, что это подойдет для всех SaaS-сервисов, но думаю, что во многих есть функция печати бумажных документов. На бумажном документе должно быть наименование физического или юридического лица.
Сделайте так, чтобы это наименование можно было менять с приложением некоторых усилий, но не слишком сложно.

Пользователь вводит свой _личный_ пароль, а не автоматически сгенерированный сервисом.
Обычно свой пароль вводится с какой-то интенсивностью (общее время ввода или время ввода какой-то части пароля). Можно отсылать аяксом таймстэмпы каждого нажатия клавиши клавиатуры во время ввода пароля. На сервисе после 2-3 авторизаций подсчитать среднее время ввода пароля и потом сравнивать. Чужой пользователь будет дольше вводить не свой пароль, а тем более если copy/paste, то сразу засечь можно :)
Для пущей надежности сравнивать с каким-нибудь токеном (User-Agent, ip and etc)

Залогинелся, остальные сессии нужно удалять. Так физически они все будут работать по очереди. Плюс ввести ограничения на количество различных связок ip-адрес-useragent за сутки.

2. "Поощрить". Методика, проверенная соцсетями.

А зачем, в общем, запрещать пользователю "делиться сервисом"? От ограничений люди расстраиваются, а что официальный покупатель, что "просители" - наши клиенты, и наша задача их радовать и лелеять.

Не надо запрещать. Намного лучше - разрешать. Инвайты, да, причём с преимуществами относительно безынвайтной регистрации. "Если вы зарегистрируетесь на сайте сами, то получите один бесплатный месяц использования. А если по инвайту от знакомого, то три бесплатных месяца." За три месяца уж распробуют.

А если от выдачи инвайта будет какую-то пользу получать и официальный покупатель (классическая пирамида: если по вашему инвайту зарегистрируется платный пользователь, вы будете получать каждый месяц 10% от его оплаты), то покупатель сам будет искать новых клиентов сервиса :) (эх, мне б на webfaction.com ещё пару аффилиэйтов, и хостинг моих сайтов там будет вообще бесплатный ;) )

Сделайте как (почти) в вебмани - с запросом кода авторизации. Раздражает, конечно, но вроде все привыкли. При первом логине юзеру предлагается ввести уникальный код, высылаемый на почту (указанную в договоре?). Если активация пройдена, с данного рабочего места (по куке, ип) можно открывать сессии сколь угодно долго (до месяца например). Если юзер логинится с другого места (новая кука, ип) - авторизация заново. Если при открытой сессии одного юзера происходит успешная авторизация где-то еще, эта первая сессия рвется и надо авторизовываться заново. Короче, принцип что под одним логином/паролем может ОДНОВРЕМЕННО работать в системе только один человек. Имхо, с смс гемориистей и дороже, к тому же ничем не отличается от почтовой авторизации - точно также можно передать код другому, особенно если он за соседним столом сидит.

The comments to this entry are closed.

My Photo

Поиск по блогу