Autor Zpráva
kajaman
Profil
Hned na začátek: vím, že už to tady bylo, něco jsem i našel, ale stejně mi to nedá se ještě jednou nezeptat, tak mě, prosím, nebijte :-)

Takže: jak udělat ochranu ankety proti opakovanému hlasování: kromě nesmyslu jako "hlasování jen pro přihlášené" se jasně nabízí cookie. Jenže smazat cookie umí zřejmě každý...

Dále se nabízí někam uložit IP adresu ... to je spolehlivější (nebudu uvažovat šílence, který by si kvůli hlasování v anketě chtěl měnit IP adresu), ale nevýhodou je, že tím odřízneme od možnosti hlasovat obrovské množství lidí, kteří mají stejnou IP, např. v práci, že?

Potom je možnost použít trochu vychytralosti a nastavit cookie a pamatovat si poslední IP adresu, nebo si pamatovat všechyn IP adresy třeba 5minut. Zlobivý uživatel si smaže kukiny a zjistí, že to nefunguje, tak se na to vykašle, protože dál mu to nestojí za to a omezení na IP za 5 minut ztratí platnost, čímž se může stát, že někteří se budou snažit hlasovat a NEBUDE TO FUNGOVAT (!!! :-( ), ale zase jen 5 minut ... a ta šance je dost malá...

Nevíte někdo nějakou zajímavou techniku jak to dělaj machři? :-)
AM_
Profil
Zlobivý uživatel si smaže kukiny a zjistí, že to nefunguje, tak se na to vykašle, protože dál mu to nestojí za to a omezení na IP za 5 minut ztratí platnost
tak na to bych nespoléhal, ne každý zlobivý uživatel je tak hloupý a v momentě, kdy to jeden zjistí, hodí si někam po 5min cron a máš po legraci.
Vzhledem k tomu, že krom IP se dají veškerá data snadno podvrhnout, je to bohužel jediná účinná ochrana, i za cenu toho, že někteří uživatelé ztratí možnost hlasovat (přesné to stejně nebude nikdy, někdo má přístup k deseti počítačům s různými IP nebo použije proxy a někde zase 10 lidí sedí na jednom).

Otázkou ale je, jestli má smysl si psát vlastní anketní systém, snad ledaže bys požadoval nějaké super spešl funkce. Myslím, že nápis "Anketa od Blueboard" je malá daň za kvalitní službu a ušetřený čas :)
cistax
Profil
Ja tu mam u sebe udelane tak, ze jsem si zalozil tabulku hlasovani, v ni sloupce clanek, kdo, kolik a mam to ve vyberovem dotazu osetreno tak, ze pro kazdy clanek se to muze jen jednou z jedne IP
tiso
Profil
kajaman - ešte funguje finta "tváriť sa že si hlas pridal", takže sa tie ochrany nesnažia obchádzať. Každopádne pomáha získať čo najviac údajov od hlasujúcich a potom na základe toho odstraňovať podozrivé hlasy.
kajaman
Profil
na Intervalu je také popsaná taková technika ... zapamatuji si poslední IP, takže se nepodaří přidat 2 hlasy ze stejné IP za sebou. Také takové nedokonalé řešení, které trochu pomáhá "oddělit zrno od plev"
fuckin
Profil *
AM_
To s tim blueboardem je snad blby vtip, to jako kdybys rekl na co tvorit web, webgarden bude stacit. Nemyslis?
vynalezce
Profil
kajaman - ešte funguje finta "tváriť sa že si hlas pridal", takže sa tie ochrany nesnažia obchádzať. Každopádne pomáha získať čo najviac údajov od hlasujúcich a potom na základe toho odstraňovať podozrivé hlasy.

to jo no

chtelo by to pridavat vse a pak jednou za cas spustit kod kterej by to seskrtal na zaklade stejne ip, pritomnosti cookie (s id), casu (a datumu) a prohlizece

treba takhle
funkce volana s parametry $cookiea,$cookieb,$ipa,$ipb atd
$stejne="0";
if($cookiea==$cookieb){$stejne=$stejne+2;}
if($ipa==$ipb){$stejne=$stejne+2;}
u prohlizece +1
u casu a data +1
atd
pridat ke kazdemu do db do sloupce stejne vysledne cislo a pak to vypsat a smazat budto prisne (4) nebo prisne (vice nez 4)
atp
dotaz me nenapada ale snad neco vymyslite
fuckin
Profil *
co obsahuji ty cookies a,b? Mimochodem jedna se o proceduru a ten tvuj kod sem nejak nepobral...

Kdyz treba nekdo vidi kolik ma anketa hlasu, dejme tomu 1000 a dalsi den jen 700 tak si kazdy rekne ze tu funguje cenzura...
Alphard
Profil
AM_:
tak na to bych nespoléhal, ne každý zlobivý uživatel je tak hloupý a v momentě, kdy to jeden zjistí, hodí si někam po 5min cron a máš po legraci.
K hlasům lze přidávat tokeny, to by mohlo cron odstavit.

Viděl bych to na kombinaci časového limitu na jednu IP a cookies, možná zohlednit ještě prohlížeč. Spoustu lidí napadne smazat si cookies, ale už ne zkusit hlasovat v něčem jiném.

vynalezce:
chtelo by to pridavat vse a pak jednou za cas spustit kod kterej by to seskrtal na zaklade stejne ip, pritomnosti cookie (s id), casu (a datumu) a prohlizece
To bude působit nedůvěryhodně (jak již bylo řečeno). Ale jestli na tom kajamanovi hodně záleží, mohl by zavést např. důvěryhodnost hlasu. Nechat to uživatele naklikat (ať se nesnaží moc skrývat) a pak počítat jako jeden hlas ;-) Např. 50 hlasů z 1 IP a s 1 cookies za 5 minut bude těžko od 50 uživatelů.
AM_
Profil
fuckin
To s tim blueboardem je snad blby vtip, to jako kdybys rekl na co tvorit web, webgarden bude stacit. Nemyslis?
tak mi řekni, jakou funkci od ankety chceš kterou BB ankety nemají :)
s webgarden jsem nikdy nedělal, ani pořádně nevím, jak to vypadá, tak nemůžu posoudit, ale tvoje přirovnání mi připadá asi tak logické jako "pít kafe? to už můžeme rovnou šňupat kokain"
kajaman
Profil
Vypadá to, že jste mi potvrdili to, k čemu jsem se dopracoval, tj. k tomu, že nic spolehlivého neexistuje.
Děkuji všem!
vynalezce
Profil
co obsahuji ty cookies a,b? Mimochodem jedna se o proceduru a ten tvuj kod sem nejak nepobral...

obsahuji id

cookie a,b - v db ulozena hodnota id tech kteri pridali dva prispevky


„To s tim blueboardem je snad blby vtip, to jako kdybys rekl na co tvorit web, webgarden bude stacit. Nemyslis?“
tak mi řekni, jakou funkci od ankety chceš kterou BB ankety nemají :)


protoze napsat to je primitivni az na tema tohoto dotazu, muzes si to udelat sam, muzes ukladat vic veci o uzivateli (ip, datum, cas, prohlizec) a lepe tak posuzovat vysledky ankety, muzes si uplne prispusobit vzhled a funkce...
Jack Finger
Profil
tak mi řekni, jakou funkci od ankety chceš kterou BB ankety nemají :)
Vlastní kódy jsou vždy lepší, pokud člověk není prase.
AM_
Profil
vynalezce
protoze napsat to je primitivni az na tema tohoto dotazu, muzes si to udelat sam, muzes ukladat vic veci o uzivateli (ip, datum, cas, prohlizec) a lepe tak posuzovat vysledky ankety, muzes si uplne prispusobit vzhled a funkce...
ano, právě o to jde. na bb mají docela propracovaný systém ochrany proti dvojímu hlasování, nevšiml jsem si, že by výsledky jejich anket byly tak snadno ovlivnitelné. Vzhled je také do značné míry přizpůsobitelný, ale samozřejmě pokud trváš na kompletně svém vzhledu, musíš si to napsat.

Vlastní kódy jsou vždy lepší, pokud člověk není prase.
zkušenosti poslední doby mi říkají, že efektivita práce programátora je přímo úměrná jeho schopnosti použít již hotové věci a nesnažit se si všechno napsat sám. Samozřejmě, pokud ta již hotová věc nesplňuje něco, co potřebuju, tak není zbytí, ale ohledně toho prasete - myslím, že většina lidí, co se sem chodí ptát, nemá ani zdaleka tolik zkušeností, jako kodéři, kteří píšou pro BB (ani ti nejsou dokonalí, ale i tak jsou o několik levelů dál). Samozřejmě neříkám jen blueboard, na http://hotscripts.com určitě taky bude hromada anket v PHP, abyste se vyhli komunikaci s cizím serverem.
vynalezce
Profil
„Vlastní kódy jsou vždy lepší, pokud člověk není prase.“
zkušenosti poslední doby mi říkají, že efektivita práce programátora je přímo úměrná jeho schopnosti použít již hotové věci a nesnažit se si všechno napsat sám. Samozřejmě, pokud ta již hotová věc nesplňuje něco, co potřebuju, tak není zbytí, ale ohledně toho prasete - myslím, že většina lidí, co se sem chodí ptát, nemá ani zdaleka tolik zkušeností, jako kodéři, kteří píšou pro BB (ani ti nejsou dokonalí, ale i tak jsou o několik levelů dál). Samozřejmě neříkám jen blueboard, na http://hotscripts.com určitě taky bude hromada anket v PHP, abyste se vyhli komunikaci s cizím serverem.



Když si napíšu vlastní anketu nebo cokoli jiného bude to vždy bezpečnější než verze pod open sourcem
(udělám-li tam stejné chyby).
Příklad:
Někdo využije anketu pod opensourcem, někdo jiný tu anketu pozná (zapomenutý komentář, vzhled, hláška...) a bude vědět, co se kontroluje a vymyslí jak na anketu zaútočit (CSRF, kus kódu který hlasuje a smaže cookies...).
AM_
Profil
Když si napíšu vlastní anketu nebo cokoli jiného bude to vždy bezpečnější než verze pod open sourcem
(udělám-li tam stejné chyby).

anketa zas není tak složitá věc, aby v ní bylo tolik chyb. BB sice obecně není moc dobře zabezpečený, měli tam injection chybu a jejich zdrojové kódy tedy svého času nebyl problém stáhnout, ale zase je tak rozšířený a živý, že v momentě, kdy se na něj objeví nějaký hack, dá se spoléhat na to, že jej brzo opraví.
Navíc, vždycky je riziko hacku, a nevím, jestli hodiny práce stojí za to že si pak můžu říct "tak a teď mám anketu kterou je o něco těžší nabourat protože nikdo nezná její zdroják", za chvilku chytit virus co krade hesla k FTP a mít po legraci.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm:

0