Как лучше всего запретить пользователям делиться сессионными cookie-файлами в Rails?
Я думаю, что у меня есть хороший способ сделать это, но я бы хотел запустить его командой переполнения стека, чтобы посмотреть, есть ли сначала более простой способ.
По сути, я хотел бы определить, пытается ли кто-то поделиться платным членством с другими. Пользователи уже проверяются в момент входа в систему для входа из слишком большого числа различных подсетей, но некоторые пытались обойти это, обмениваясь файлами cookie сеанса. Какой лучший способ сделать это, не привязывая сессии к IP-адресам (многие легитимные люди используют чередующиеся прокси).
Лучшая эвристика, которую я нашел, это количество подсетей / время класса B (некоторые провайдеры используют вращающиеся прокси в разных классах C). Это дало нам наименьшее количество ложных срабатываний, поэтому я бы хотел придерживаться этого метода.
Сейчас я думаю о применении фильтра before для каждого запроса, который отслеживает подсети и идентификаторы session_ids, которые пользователь использовал в memcached, и применяет к ним эвристику, чтобы определить, передается ли файл cookie.
Есть ли что-нибудь проще / легче реализовать идеи? Существующие плагины, которые делают это?