Soru:
Bir Sosyal Medya Yarışmasında Seçmen Dolandırıcılığını Önleme
user2241961
2013-04-04 00:51:01 UTC
view on stackexchange narkive permalink

Kullanıcıların Facebook & Twitter hesaplarını kullanarak oturum açmalarına ve videolar için oy göndermelerine olanak tanıyacak bir yarışma oluşturuyorum. Müşterilerimin endişesi, kullanıcıların aynı videoda istenmeyen oylar almaya devam etmek için farklı Facebook & Twitter hesaplarına giriş yaparak sistemde oyun oynayacak olmaları.

Bu tür seçmen sahtekarlığını nasıl önleyebilirim?

Yani oyunu oynayan sosyal oyunculardan mı endişeleniyorsunuz?
Kesinlikle, benim önsezim, sadece bir hesaptan hesaba atlamadıklarını doğrulamak için yapabileceğim çok fazla şey olduğu yönünde. Düşünceler?
Bunu güvenlikle ilgili bir soru olarak görmüyorum. Sorduğunuz, benzersiz bir kullanıcıyı tespit etmek için hangi tekniklerin olduğu ve her bir bireyin yalnızca bir kez oy verdiğinden ve sahtekarlık karşıtı sisteminizi atlamamasını sağlamak için kullanabileceğiniz başka yöntemler varsa. Cevap, bu sistemi% 100 kurşun geçirmez hale getiremeyeceğinizdir, çünkü her seçmenin gerçekten de onlar hakkında hangi verileri toplamasına izin verileceğine sahip benzersiz bir birey olmasını sağlayamayacaksınız. Bu size ya bir oy pusulası sistemi bırakıyor ya da olası sahtekarlıkları hesaba katmak için oylama istatistiklerini ağırlıklandırıyor.
Harika noktalar TidalWave, tamamen katılıyorum,% 100 kurşun geçirmez hale getirmenin mümkün bir yolu yok. Soruyu yanlış forumda sorduysam özür dilerim. Cevabınız için teşekkürler, yine de bir ton yardımcı olacaktır :)
StackOverflow, bunun konu dışı olduğunu ve burada sorulması gerektiğini söylüyor. Başka bir seçmen dolandırıcılığı başlığımız var (http://security.stackexchange.com/q/30859/836), ancak üçüncü tarafların kullanılmadığını varsayıyor. Bunu + 1'leyeceğim ve bir şey bulup bulmadığına bakacağım.
İnsanlardan bir onay e-postası ile bir şeyler yapmalarını isteyerek (ve tüm ücretsiz posta hesaplarını engelleyerek) dolandırıcılığı sınırlayabilir (ancak engelleyemezsiniz). Yine de tüm dolandırıcılığı durdurmayacak.
İlgili soru: http://security.stackexchange.com/questions/33447/how-does-facebook-detect-fake-accounts-during-signup Facebook en azından zaten kendi çoklu hesap algılamasını yapıyor gibi görünüyor ve - baypas etmek önemlidir. Twitter'ın benzer bir şey yaptığından şüpheleniyorum, ancak spam yapmadıkları sürece birden fazla hesaba daha toleranslı olacaklar.
bu yanıtı görmek isteyebilirsiniz: http: //security.stackexchange.com/a/31530/21234
Iki yanıtlar:
Ladadadada
2013-04-04 03:15:04 UTC
view on stackexchange narkive permalink

Kontrol ettikleri hesaplara giriş yapmak yerine, seçmen sahtekarlığının tıklama hırsızlığı veya CSRF yoluyla yapılacağını ve Facebook'un sosyal viral gücünden yararlanarak istenmeyen suç ortakları çekilmesini bekliyorum.

Son zamanlarda Sadece bir resmi "beğenerek" ve "paylaşarak" bir PS4 elde edebileceğinizi ve bunu yapan çok sayıda insan olduğunu iddia eden Facebook, Facebook kullanıcılarını sitenize kaydolmaları için kandıracak benzer bir şey yaratmanın mümkün olacağından şüpheleniyorum. ve oylama formunu göndermek.

Diğer bir olasılık da, Facebook'taki viral görüntünün onlara PS4'ü kazanmak için kaydolmaları ve yarışmanızdaki belirli bir girişe oy vermeleri gerektiğini söyleyebilir.

CSRF, nonces, gizli anahtarlar ve MAC'leri içeren standart azaltma tekniklerine sahiptir. Tıklama hırsızlığı için de azaltma teknikleri vardır.

Birisinin ayrı bir ödül için belirli bir şekilde oy kullandığını belirlemek daha zordur. Muhtemelen yapay zeka için bir iş. Bir müşteriden gördüğünüz ilk yönlendiren başlığı, motivasyonları hakkında bir ipucu verebilir. Çeşitli oylama seçeneklerini değerlendirmek için harcadıkları zaman da olabilir. Çok hızlı seçin ve muhtemelen sahtekarlıktır. Muhtemelen izleme fare hareketlerinden iyi veriler elde edeceksiniz. Bu teknikler, muhtemelen tek bir kişinin birden çok hesapta oturum açması konusundaki ilk korkunuz için işe yarayacaktır.

TildalWave
2013-04-04 03:34:33 UTC
view on stackexchange narkive permalink

OpenID / OAuth kimlik doğrulama yöntemlerinde, bunlar aracılığıyla bireysel oturum açmayı garanti eden kesinlikle hiçbir şey yoktur, gerçekten de benzersiz bir kullanıcıdır. OpenID, bir sertifika biçiminde (kullanıcı adı, e-posta adresi ve noter ) OAuth'un vale anahtarı kimlik doğrulamasından biraz daha fazla veri sağlar, ancak bu tek başına oylamayı sahtekarlığı önlemek. Dolandırıcılık kelimesini bu anlamda kullanmak bence biraz ağır, belki kötüye kullanım daha uygun mu? Ne olursa olsun, web uygulamanızda hangi diğer bilgileri kullanabileceğinizi ve bunun oylama sisteminiz için ne anlama geldiğini görelim:

  • IP adresi : Çoğu kullanıcı IP'lerini bir DHCP sunucusu tarafından atandığından ve dinamik olduğundan uygun değildir (daha sonra başka bir kullanıcıya atanabilir veya aynı kullanıcı yeni bir tane isteyebilir), farklı kullanıcılar web sitenize aynı IP üzerinden erişiyor olabilir (kuruluşlar ve proxy sunucuları kullanan diğerleri, bir IPv4 aracısı aracılığıyla tünel oluşturan mobil IPv6 kullanıcıları vb.) veya aynı kişi, web sitenize farklı bir IP (TOR ağı, VPN, ...) ile erişmek için başka yöntemler kullanabilir
  • Oturum Kimliği : Bu, bir oturum çerezinden (veya çerezsiz oturumlarda bir oturum kalıcı istek sorgu değeri biçiminden), genellikle kullanıcı aracısı dizesinden (tarayıcının kimlik dizesi) ve Zaten kapsadığımız IP. Bunların hiçbiri (kendi başına veya bir bütün olarak oturum), farklı tarayıcılara geçiş yapabildikleri, çerezleri silerek kullanıcı oturumunu temizleyebilecekleri ve hatta tarayıcının imzasını değiştirebilecekleri için benzersiz bir kullanıcının oturum açmasını garanti etmez. Bunların tümü kullanıcı oturumunu geçersiz kılabilir ve yenisi için bir istekte bulunulabilir.
  • Yönlendirme dizesi : Kolayca sahtecilik yapılabileceği veya basitçe yeniden kullanılabileceği için tek başına uygun değildir birçok kez.

Bu sizi şunlardan birinde bırakır:

  • Facebook ve Twitter'a, kullanıcı başına birden çok hesabı kendi algılamalarını yapmaları için güvenmek,
  • Bu tür kötüye kullanımları tespit etmeye çalışacak ek bir kullanıcı kimlik doğrulaması talep etme (Facebook ve Twitter'da halihazırda mevcut olandan daha iyisini yapmak imkansız olabilir),
  • Oy pusulasıyla (davet yalnızca bir kerelik oylama) veya
  • Sonuçları sunarken olası oy istismarını hesaba katın ( ağırlıklı ortalamalar gibi).

Son üç seçeneğin tümünün uygulanması oldukça zordur ve projenizin bütçesi dahilinde olmayabilir, ki bu - günün sonunda - bu seçeneklerden hangisinin yapabileceği veya

Bir yan not olarak, ağırlıklı ortalama için size iyi bir örnek vermek istedim, ancak sorun şu ki, bu yöntemlerin geçerliliğini önemseyen tüm sistemler kasıtlı olarak kendi sistemi yerinde atlatarak daha fazla kötüye kullanımı önlemek için iç çalışma. Bu tür oylama mekanizmalarını kullanan ve çok çaba sarf ettiği bilinen web sitelerinden biri IMDB (bunun ne kadar etkili olduğuna siz karar vereceksiniz, yorumlarımı saklı tutacağım) ve orada tamamen farklı uygulamalara sahip pek çok diğeridir. StackExchange bile bir çeşit seri oylama engellemesine sahiptir, ancak bununla ilgili ayrıntılar da oldukça azdır.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...