Autor | Zpráva | ||
---|---|---|---|
kajaman Profil |
#1 · Zasláno: 18. 6. 2009, 14:23:31
Hned na začátek: vím, že už to tady bylo, něco jsem i našel, ale stejně mi to nedá se ještě jednou nezeptat, tak mě, prosím, nebijte :-)
Takže: jak udělat ochranu ankety proti opakovanému hlasování: kromě nesmyslu jako "hlasování jen pro přihlášené" se jasně nabízí cookie. Jenže smazat cookie umí zřejmě každý... Dále se nabízí někam uložit IP adresu ... to je spolehlivější (nebudu uvažovat šílence, který by si kvůli hlasování v anketě chtěl měnit IP adresu), ale nevýhodou je, že tím odřízneme od možnosti hlasovat obrovské množství lidí, kteří mají stejnou IP, např. v práci, že? Potom je možnost použít trochu vychytralosti a nastavit cookie a pamatovat si poslední IP adresu, nebo si pamatovat všechyn IP adresy třeba 5minut. Zlobivý uživatel si smaže kukiny a zjistí, že to nefunguje, tak se na to vykašle, protože dál mu to nestojí za to a omezení na IP za 5 minut ztratí platnost, čímž se může stát, že někteří se budou snažit hlasovat a NEBUDE TO FUNGOVAT (!!! :-( ), ale zase jen 5 minut ... a ta šance je dost malá... Nevíte někdo nějakou zajímavou techniku jak to dělaj machři? :-) |
||
AM_ Profil |
#2 · Zasláno: 18. 6. 2009, 14:31:29
„Zlobivý uživatel si smaže kukiny a zjistí, že to nefunguje, tak se na to vykašle, protože dál mu to nestojí za to a omezení na IP za 5 minut ztratí platnost“
tak na to bych nespoléhal, ne každý zlobivý uživatel je tak hloupý a v momentě, kdy to jeden zjistí, hodí si někam po 5min cron a máš po legraci. Vzhledem k tomu, že krom IP se dají veškerá data snadno podvrhnout, je to bohužel jediná účinná ochrana, i za cenu toho, že někteří uživatelé ztratí možnost hlasovat (přesné to stejně nebude nikdy, někdo má přístup k deseti počítačům s různými IP nebo použije proxy a někde zase 10 lidí sedí na jednom). Otázkou ale je, jestli má smysl si psát vlastní anketní systém, snad ledaže bys požadoval nějaké super spešl funkce. Myslím, že nápis "Anketa od Blueboard" je malá daň za kvalitní službu a ušetřený čas :) |
||
cistax Profil |
#3 · Zasláno: 18. 6. 2009, 14:47:25
Ja tu mam u sebe udelane tak, ze jsem si zalozil tabulku hlasovani, v ni sloupce clanek, kdo, kolik a mam to ve vyberovem dotazu osetreno tak, ze pro kazdy clanek se to muze jen jednou z jedne IP
|
||
tiso Profil |
#4 · Zasláno: 18. 6. 2009, 15:11:05
kajaman - ešte funguje finta "tváriť sa že si hlas pridal", takže sa tie ochrany nesnažia obchádzať. Každopádne pomáha získať čo najviac údajov od hlasujúcich a potom na základe toho odstraňovať podozrivé hlasy.
|
||
kajaman Profil |
#5 · Zasláno: 18. 6. 2009, 15:14:36
na Intervalu je také popsaná taková technika ... zapamatuji si poslední IP, takže se nepodaří přidat 2 hlasy ze stejné IP za sebou. Také takové nedokonalé řešení, které trochu pomáhá "oddělit zrno od plev"
|
||
fuckin Profil * |
#6 · Zasláno: 18. 6. 2009, 16:00:51
AM_
To s tim blueboardem je snad blby vtip, to jako kdybys rekl na co tvorit web, webgarden bude stacit. Nemyslis? |
||
vynalezce Profil |
#7 · Zasláno: 18. 6. 2009, 17:10:24
„kajaman - ešte funguje finta "tváriť sa že si hlas pridal", takže sa tie ochrany nesnažia obchádzať. Každopádne pomáha získať čo najviac údajov od hlasujúcich a potom na základe toho odstraňovať podozrivé hlasy.“
to jo no chtelo by to pridavat vse a pak jednou za cas spustit kod kterej by to seskrtal na zaklade stejne ip, pritomnosti cookie (s id), casu (a datumu) a prohlizece treba takhle funkce volana s parametry $cookiea,$cookieb,$ipa,$ipb atd $stejne="0"; if($cookiea==$cookieb){$stejne=$stejne+2;} if($ipa==$ipb){$stejne=$stejne+2;} u prohlizece +1 u casu a data +1 atd pridat ke kazdemu do db do sloupce stejne vysledne cislo a pak to vypsat a smazat budto prisne (4) nebo prisne (vice nez 4) atp dotaz me nenapada ale snad neco vymyslite |
||
fuckin Profil * |
#8 · Zasláno: 18. 6. 2009, 17:22:13
co obsahuji ty cookies a,b? Mimochodem jedna se o proceduru a ten tvuj kod sem nejak nepobral...
Kdyz treba nekdo vidi kolik ma anketa hlasu, dejme tomu 1000 a dalsi den jen 700 tak si kazdy rekne ze tu funguje cenzura... |
||
Alphard Profil |
#9 · Zasláno: 18. 6. 2009, 23:19:35
AM_:
„tak na to bych nespoléhal, ne každý zlobivý uživatel je tak hloupý a v momentě, kdy to jeden zjistí, hodí si někam po 5min cron a máš po legraci.“ K hlasům lze přidávat tokeny, to by mohlo cron odstavit. Viděl bych to na kombinaci časového limitu na jednu IP a cookies, možná zohlednit ještě prohlížeč. Spoustu lidí napadne smazat si cookies, ale už ne zkusit hlasovat v něčem jiném. vynalezce: „chtelo by to pridavat vse a pak jednou za cas spustit kod kterej by to seskrtal na zaklade stejne ip, pritomnosti cookie (s id), casu (a datumu) a prohlizece“ To bude působit nedůvěryhodně (jak již bylo řečeno). Ale jestli na tom kajamanovi hodně záleží, mohl by zavést např. důvěryhodnost hlasu. Nechat to uživatele naklikat (ať se nesnaží moc skrývat) a pak počítat jako jeden hlas ;-) Např. 50 hlasů z 1 IP a s 1 cookies za 5 minut bude těžko od 50 uživatelů. |
||
AM_ Profil |
#10 · Zasláno: 19. 6. 2009, 00:15:45
fuckin
„To s tim blueboardem je snad blby vtip, to jako kdybys rekl na co tvorit web, webgarden bude stacit. Nemyslis?“ tak mi řekni, jakou funkci od ankety chceš kterou BB ankety nemají :) s webgarden jsem nikdy nedělal, ani pořádně nevím, jak to vypadá, tak nemůžu posoudit, ale tvoje přirovnání mi připadá asi tak logické jako "pít kafe? to už můžeme rovnou šňupat kokain" |
||
kajaman Profil |
#11 · Zasláno: 19. 6. 2009, 08:36:50 · Upravil/a: kajaman
Vypadá to, že jste mi potvrdili to, k čemu jsem se dopracoval, tj. k tomu, že nic spolehlivého neexistuje.
Děkuji všem! |
||
vynalezce Profil |
#12 · Zasláno: 19. 6. 2009, 13:51:57
„co obsahuji ty cookies a,b? Mimochodem jedna se o proceduru a ten tvuj kod sem nejak nepobral... “
obsahuji id cookie a,b - v db ulozena hodnota id tech kteri pridali dva prispevky „„To s tim blueboardem je snad blby vtip, to jako kdybys rekl na co tvorit web, webgarden bude stacit. Nemyslis?“ tak mi řekni, jakou funkci od ankety chceš kterou BB ankety nemají :) “ protoze napsat to je primitivni az na tema tohoto dotazu, muzes si to udelat sam, muzes ukladat vic veci o uzivateli (ip, datum, cas, prohlizec) a lepe tak posuzovat vysledky ankety, muzes si uplne prispusobit vzhled a funkce... |
||
Jack Finger Profil |
#13 · Zasláno: 19. 6. 2009, 14:19:01
„tak mi řekni, jakou funkci od ankety chceš kterou BB ankety nemají :)
Vlastní kódy jsou vždy lepší, pokud člověk není prase. |
||
AM_ Profil |
#14 · Zasláno: 19. 6. 2009, 14:26:14
vynalezce
„protoze napsat to je primitivni az na tema tohoto dotazu, muzes si to udelat sam, muzes ukladat vic veci o uzivateli (ip, datum, cas, prohlizec) a lepe tak posuzovat vysledky ankety, muzes si uplne prispusobit vzhled a funkce...“ ano, právě o to jde. na bb mají docela propracovaný systém ochrany proti dvojímu hlasování, nevšiml jsem si, že by výsledky jejich anket byly tak snadno ovlivnitelné. Vzhled je také do značné míry přizpůsobitelný, ale samozřejmě pokud trváš na kompletně svém vzhledu, musíš si to napsat. „Vlastní kódy jsou vždy lepší, pokud člověk není prase.“ zkušenosti poslední doby mi říkají, že efektivita práce programátora je přímo úměrná jeho schopnosti použít již hotové věci a nesnažit se si všechno napsat sám. Samozřejmě, pokud ta již hotová věc nesplňuje něco, co potřebuju, tak není zbytí, ale ohledně toho prasete - myslím, že většina lidí, co se sem chodí ptát, nemá ani zdaleka tolik zkušeností, jako kodéři, kteří píšou pro BB (ani ti nejsou dokonalí, ale i tak jsou o několik levelů dál). Samozřejmě neříkám jen blueboard, na http://hotscripts.com určitě taky bude hromada anket v PHP, abyste se vyhli komunikaci s cizím serverem. |
||
vynalezce Profil |
#15 · Zasláno: 19. 6. 2009, 15:10:00
„„Vlastní kódy jsou vždy lepší, pokud člověk není prase.“
zkušenosti poslední doby mi říkají, že efektivita práce programátora je přímo úměrná jeho schopnosti použít již hotové věci a nesnažit se si všechno napsat sám. Samozřejmě, pokud ta již hotová věc nesplňuje něco, co potřebuju, tak není zbytí, ale ohledně toho prasete - myslím, že většina lidí, co se sem chodí ptát, nemá ani zdaleka tolik zkušeností, jako kodéři, kteří píšou pro BB (ani ti nejsou dokonalí, ale i tak jsou o několik levelů dál). Samozřejmě neříkám jen blueboard, na http://hotscripts.com určitě taky bude hromada anket v PHP, abyste se vyhli komunikaci s cizím serverem.“ Když si napíšu vlastní anketu nebo cokoli jiného bude to vždy bezpečnější než verze pod open sourcem (udělám-li tam stejné chyby). Příklad: Někdo využije anketu pod opensourcem, někdo jiný tu anketu pozná (zapomenutý komentář, vzhled, hláška...) a bude vědět, co se kontroluje a vymyslí jak na anketu zaútočit (CSRF, kus kódu který hlasuje a smaže cookies...). |
||
AM_ Profil |
#16 · Zasláno: 19. 6. 2009, 15:15:09
„Když si napíšu vlastní anketu nebo cokoli jiného bude to vždy bezpečnější než verze pod open sourcem
(udělám-li tam stejné chyby).“ anketa zas není tak složitá věc, aby v ní bylo tolik chyb. BB sice obecně není moc dobře zabezpečený, měli tam injection chybu a jejich zdrojové kódy tedy svého času nebyl problém stáhnout, ale zase je tak rozšířený a živý, že v momentě, kdy se na něj objeví nějaký hack, dá se spoléhat na to, že jej brzo opraví. Navíc, vždycky je riziko hacku, a nevím, jestli hodiny práce stojí za to že si pak můžu říct "tak a teď mám anketu kterou je o něco těžší nabourat protože nikdo nezná její zdroják", za chvilku chytit virus co krade hesla k FTP a mít po legraci. |
||
Časová prodleva: 15 let
|
0