Come può un concorso su Internet verificare voti unici con una sola email come parametro di input?

Naviga le tue risposte
4

Per il mio corso sulla sicurezza del computer stiamo analizzando diversi modi per utilizzare gli attributi per un utente unico (che sono prontamente disponibili su una rete) per prevenire varie attività maliziose. Abbiamo già studiato gli attributi di posta elettronica in cluster per aiutare a ridurre lo spam e possibilmente individuare le botnet, insieme ad altre cose. Ci è stato chiesto di convalidare voti unici per i concorsi su Internet oggi, e sono davvero perplesso. Ecco le condizioni:

Un sito Web organizza una competizione di una settimana in cui gli utenti possono votare una volta al giorno. Non ci sono account o accessi necessari per votare, tutto quello che devi fornire è un indirizzo email valido. Nessuna email di verifica viene inviata. Cosa puoi fare per mantenere l'integrità del concorso?

-Pensavo a tenere traccia degli IP, ma molti computer possono far parte di una singola rete. C'è qualcosa di più specifico di un IP che è unico per ogni computer, che è anche accessibile su una rete?

-Inoltre, come puoi impedire alle persone di inserire più indirizzi email personali validi (ad esempio, ho un indirizzo email di spam che distribuisco nei negozi, un indirizzo email universitario e poi uno vecchio che non uso , ma sono tutti validi!).

-Il concorso potrebbe essere vinta illegittimamente da qualcuno che ha lo spoofing IP?

Ho visto alcune domande simili poste qui, ma tutte contengono procedure molto complesse per minimizzare l'imbroglio. Questo è molto semplice, e ovviamente ci sono molti buchi.

    
posta SwaroopGiwali 26.02.2013 - 06:19
fonte

4 risposte

5

I was thinking about tracking IPs, but many computers can be a part of a single network. Is there anything more specific than an IP that is unique to each computer, that is also accessible over a network?

Il primo pensiero che verrà in mente sarà fare uso di cookie per tracciare gli utenti. Certo, può essere facilmente rimosso. Forse qualcosa come evercookie ? Hmm.

Also, how can you stop people from entering multiple valid personal email addresses (for example, I have a spam email address that I give out at stores, a university email address, and then an old one I don't use, but they are all valid!).

Senza legare l'indirizzo email a qualcos'altro, questo è assolutamente impossibile. Un possibile pensiero che viene in mente potrebbe invalidare qualsiasi indirizzo email inviato attraverso un computer con un indirizzo IP o un cookie precedentemente utilizzato. Questo non è impossibile da eludere, ma potrebbe scoraggiare i trucchi meno esperti di tecnologia o determinati.

Could the contest be illegitimately won by someone who is IP spoofing?

Dipende dalla scala del concorso, ma molto probabilmente sì. Un altro scenario possibile sarebbe utilizzare le botnet per giocare al tuo concorso.

Quali sono alcune delle altre misure possibili che puoi adottare?

Il tuo concorso prevede un premio fisico? Se è così, gli indirizzi fisici potrebbero essere un buon modo per eliminare i cheat. È molto più facile trovare 15 indirizzi email validi diversi da quelli fisici eh?

Quanto è prezioso il tuo premio? Fino a che punto l'imbroglione sarebbe disposto a partecipare al gioco? Ovviamente la misura che desideri implementare dipende dal valore del premio in questione.

Nel tuo scenario,

A website is running a week-long contest where users are allowed to vote once per day. There are no accounts or logins necessary to vote, all you need to supply is a valid email address.

Non sembra che ci sia molto che puoi fare per fermare un cheat determinato.

    
risposta data 26.02.2013 - 06:29
fonte
3

  • Come hai detto nella tua domanda, le persone tendono ad avere più identità web valide. Diventa molto difficile per un sito Web identificare se più identità appartengono alla stessa persona.

  • non puoi fare molto per impedire alla gente di registrarsi più di una volta con le condizioni che hai.

There are no accounts or logins necessary to vote, all you need to supply is a valid email address. No verification emails are sent.

  • Per evitare inserimenti multipli, la registrazione deve richiedere più di un parametro all'utente, ad es. numero di cellulare o potrebbe farli compilare un modulo di registrazione. questi parametri devono essere convalidati inviando un SMS o e-mail.
  • Non consiglio di aggiungere questo livello di complessità a un concorso online poiché ciò comporterà un basso numero di registrazioni.
  • Un approccio comunemente usato che ho visto è che le persone si registrano inviando un messaggio di testo e si suppone che portino il cellulare mentre rivendicano il premio. Anche questo può comportare più registrazioni da parte di un utente, ma le cose saranno molto più sotto controllo rispetto alle registrazioni online
risposta data 26.02.2013 - 07:42
fonte
2

Questo approccio non blocca le botnet.

Se possiedo una botnet di macchine da 100k posso falsificare 100k voti facendo in modo che ogni macchina cerchi un indirizzo di risposta nei file di configurazione per Outlook e altri programmi di posta. Quindi ogni computer invia un voto con l'indirizzo email che trova.

Questo è un inganno, ma ti sembra legittimo perché ogni voto proviene davvero da una macchina diversa e l'indirizzo email è realmente associato all'utente di quella macchina.

    
risposta data 26.02.2013 - 08:34
fonte
0

Potresti collegare lo sforzo umano a ciascun indirizzo e-mail - Sto pensando a una variazione su un "account", ma non a uno di cui la persona votante è a conoscenza. Come collegare una domanda di comprensione della lettura alla possibilità di presentare un voto.

Gli utenti hanno inviato una domanda con 4 risposte possibili, di cui solo 1 è corretto. Il tuo voto è registrato solo se rispondi correttamente alla domanda di qualcun altro. Qualcosa come una recensione tra pari. (Ovviamente avresti bisogno di un sistema per impedire alle persone di inviare domande a cui nessuno può ottenere la risposta giusta, quindi forse alcune linee guida e uno sviluppo progressivo dell'uso delle domande inviate? Dì, per oltre 1 settimana i tuoi voti vengono divisi per 7 * numero di risposte corrette, ma si scartano le serie di domande / risposte, che statisticamente le persone molto piccole hanno risposto correttamente ...)

Per quanto ne so, l'analisi semantica di un'IA non produce buoni risultati in massa.

Come lo Stack-Exchange Network con la sua reputazione. Un bot probabilmente non guadagnerà reputazione. Ma questo presuppone un account, che il tuo scenario non consente.

    
risposta data 26.02.2013 - 12:57
fonte

Leggi altre domande sui tag

Siti multipli e diversi sullo stesso server. Singoli certificati SSL per ogni certificato o SAN? Pulendo la striscia magnetica sulla carta con il magnete?