Autor Zpráva
scrysurn
Profil *
Stránka, kde dostanete odmenu za to, že zoženiete ľudí, ktorí vám kliknú na odkazy alebo stránka kde je nejaké hlasovanie... Ako základnú ochranu považujem overovanie COOKIES resp. IP. Je tu viac spôsobov ako oklamať podobnú stránku alebo hlasovanie. Napríklad vložením do iframe na inú stránku, čo sa dá ochrániť frame-breakovým skriptom. Druhý spôsob je podobný, akurát stránka bude ako zdroj obrázka teda v atribúte src tagu IMG

Moja otázka je, ako by som mohol zabrániť takémuto podvodu ako správca takej stránky?

Druhá otázka je, ako by ste ešte vedeli oklamať takýto druh stránky resp. ako by ste to ochránili? Ďakujem za každé nápady ktoré si nenecháte pre seba :).
Alphard
Profil
scrysurn:
ako by som mohol zabrániť takémuto podvodu ako správca takej stránky?
Můžete kontrolovat stránku, ze které návštěvník přichází. Ztratíte tím ale pár hlasů, např. já to mám zakázané.

Další způsoby: smažu cookies, použiji proxy, ... Dokud nebudete chtít registraci a číslo občanky, 100% to nikdy nebude. Ukládejte si co nejvíc informací o hlasujících, abyste ty podezřelé mohl zpětně vyřadit.

Podívejte se třeba na Anketa - zabránění vícenásobnému hlasování po určitou dobu a milion podobných diskusí, ale nic objevného asi nenajdete.
scrysurn
Profil *
Spätnému zisťovaniu sa práve snažím predísť podobne ako "lámačom iframe" len som chcel vedieť či na to IMG neexistuje nejaká "finta" cez JS alebo priamo nejako PHP aby to rozlišovalo a nemusel som to kontrolovať manuálne.

Zmazanie cookies, proxy atd. to mi neprekáža skôr mi ide o automatické systémy, ktoré dokážu pridať aj desiatky hlasov za sekundu (ako tie iframes a img). Pri mazaní cookies alebo zmene proxy servera by jeden hlas trvalo dať niekoľko desiatok sekúnd resp. aspoň niekoľko sekúnd.

I tak, vďaka za odkaz.
Hologos
Profil
To, co ty nejspíš myslíš, že útok typu CSRF.
Dá se to ochránit například tak, že bude generovat nějaký hash, jeho otisk uložíš do databáze spolu s ip a platností například 2 minuty.
Všechny citlivé odkazy pak musejí obsahovat ten hash. Útočník pak nemůže uhodnout (může s minimální pravděpodobností 0,00x%, záleží na složitosti hashe), který hash se vygeneruje, a tak "škodlivý" odkaz nemůže podstrčit.
scrysurn
Profil *
Skvelé, ten názov CSRF mi pomôže, bližšie informácie si už vygooglim keď budem mať viac času, vďaka.
scrysurn
Profil *
Vlastne, ešte jedna vec, čo keď tie odkazy hash obsahovať nemôžu napr. získaj čo najviac kliknutí rozposielaním odkazu http://adresa.com?id=444 a on sa rozhodne ten odkaz dať na svoju stránku ako IMG - iná možnosť ako spätná kontrola HTTP refferer neexistuje?

Vaše odpověď


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0