Hello,

fang mal an mit einer Session.
Um zum Ziel zu kommen, muss der Surfer mittels der Session ein paar Request-Response-Spiele durchlaufen. Das gibt Dir Aufschluss darüber, ob er seine IP von einem zum nächsten Request behält.
Wenn ja, kannst Du sie benutzen.
Diese ist allerdings kein Beweis, sondern nur ein Indiz dafür, dass es derselbe sein könnte (zumindest innerhalb eines engen Zeitrahmens). Schließlich könnte er sich über Wählleitung auch neu einwählen und bekommt dann bestimmt eine andere.

Dann kannst Du noch den Agent auslesen und Dir merken.
Und auch der Accept-String steht noch zur Verfügung.

Schließlich kann man ja auch noch auf Ehrlichkeit setzen, aber das ist sicher ein Vabang-Spiel.

Zusätzlich ist das Freischalteverfahren noch von Interesse. Sende dem User die Credentials nicht gleich per eMail zu, sondern sende ihm einen Link mit einer Zufallszahl (wie die Session-ID) auf ein Freischastescript, in dem er nochmals seinen gewählten Nickname eintippen muss. Wenn der z.B. maximal dreimal falsch ist, wird der Zugang gesperrt und die eMailadresse von Dir keinesfalls mehr für Newsletter verwendet...

Dein Risiko steckt nämlich eher darin, dass jemand eine falsche email-Adresse angibt, und dandere dann die Credentials zugeschickt bekommen, diese missbrauxchen könnten oder sich ggf. auch gestört fühlen durch die eMail und dich abmahnen.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom