Soru:
Çevrimiçi seçmen sahtekarlığını önleme
Samuel
2013-02-13 22:28:47 UTC
view on stackexchange narkive permalink

Bir promosyon kampanyasının parçası olarak, şirketim, ürünümüzün kullanıcılarının (ve potansiyel kullanıcılarının) kayıt yaptırıp belirli seçeneklere oy vermesi gereken bir site başlatmak istiyor. Ne kadar başarılı olduğuna bağlı olarak, bu normal bir özellik haline gelebilir. Önerilen ödüller yetersiz olmayacağından, doğal olarak seçmen sahtekarlığı konusunda endişeliyiz. Sistemi oyun oynamak isteyen vicdansız kullanıcılar tarafından kullanılabilecek proxy'lerin, Tor'un ve diğer çeşitli yöntemlerin kullanımını nasıl tespit edebiliriz? Örneğin, https://check.torproject.org nasıl çalışır? Yalnızca Tor için değil, genel olarak kullanabileceğimiz hazır komut dosyaları var mı?

Stack Exchange'in geçmişte çevrimiçi oylamaya dayalı yarışmalar düzenlediğini görüyorum, bu yüzden biraz iyi cevaplar burada.

Teşekkürler,

Samuel

Bir kullanıcı hesabına sahip olmaları gerekiyorsa, hesabı tek bir oyla sınırlayın. Tek bir kullanıcının birden çok kullanıcı hesabı oluşturması gerekiyorsa, bu farklı bir sorundur, çevrimiçi oylamaya bağlanmak değil.
İlgili / olası yinelenen (?) [Bu soru] (http://security.stackexchange.com/questions/10601). Biraz önyargılı olsam da, en çok oyu alan cevaba sahip olmak.
Tor kullanımı neden bir problemdir? O halde, "seçmen dolandırıcılığı" derken, o terimle ne demek istediğini açıklayabilir misin? En çok ilgilendiğiniz gereksinimler / varsayımlar nelerdir?
@D.W .: Yorumunuz için teşekkür ederiz. "Seçmen dolandırıcılığı" derken, tek bir kullanıcıya oy vermek amacıyla birden fazla kukla hesap oluşturulmasını kastediyorum.
Beş yanıtlar:
Thomas Pornin
2013-02-13 22:50:00 UTC
view on stackexchange narkive permalink

Oylama sistemleri, normalde izin verilenden daha fazla sayıda oy kullanan kişiler tarafından "oyun oynanır" (ör. birkaç kez oylama). Bunu önlemenin tek yolu, seçmenleri tanımlamanın ve birden fazla oyu önlemenin bir yoluna sahip olmaktır.

Güvenilir yöntemler, kullanıcıların kimlik doğrulamasını gerektirir, ör. şifrelerle, ancak bunun iki dezavantajı var: 1. kullanıcılar bundan hoşlanmıyor ve 2. bu sorunu gerçekten çözmüyor, ancak önceki bir "kayıt aşamasına" götürüyor.

Güvenilir olmayan yöntemler, IP adreslerini izleyerek dolandırıcılıkları sezgisel olarak tespit etmekle ilgilidir (ancak bu, dinamik IP adresiyle başarısız olur - bir kullanıcı IP'sini değiştirebilir ve bu, birçok ISS ile az çok otomatik olarak gerçekleşir - ve ayrıca NAT - aynı IP'yi paylaşan birkaç farklı kullanıcı veya diğer yöntemlerle. Basitçe kullanıcının tarayıcısına bir "oy verdi" çerezi göndermek, temel, düşük teknolojili dolandırıcıları caydıracaktır; daha kapsamlı yöntemler vardır, ancak bunların tümü, teknolojik açıdan bilgili bir saldırgan tarafından atlatılabilir. Tor anonimlik, yakından ilgili bir konuyla ilgilenen ve kaybedilen bir savaşla savaşmaya çalıştığınızı gösteren bir araçtır.

StatckExchange, dediği aynı sorunla karşı karşıyadır. çorap kuklaları. Sonunda, en bariz oyun girişimlerini tespit etmek için (yayınlanmamış) senaryolarla ve çoğunlukla geri kalanını görmezden gelerek rahat bir tavır aldılar.

Cevabınız için teşekkür ederim. % 100 tespit oranına ulaşmanın imkansız olduğunu biliyorum, ancak en bariz girişimleri ayıklamak için somut öneriler takdir edilecektir. Temel olarak, ince ayar yapıp kullanabileceğimiz kaliteli yayınlanmış komut dosyaları arıyorum.
mgjk
2013-02-13 23:36:55 UTC
view on stackexchange narkive permalink

IP başına bir oyu kısıtlamak, B2B katılımını ciddi şekilde sınırlayabilir. Çoğu işletme, tüm kuruluşu küçük bir IP aralığı olarak sunan proxy'lerin veya NAT'nin arkasında.

Gerçek para ve gerçek ödüller söz konusu olduğunda, bir hesabı kitlesel olarak üretilmesi zor bir alternatif kimliğe bağlamak kötüye kullanımı gerçekten sınırlayın. Örnekler, iş e-posta adresinizi veya iş telefon numaranızı içerebilir.

Adları yarışmadan çekildiğinde, contestentry23423@gmail.com'u diskalifiye etmek veya kurumsal adresini yeniden kullanan birini bulmak için kayıtlı alan adlarına bakmak kolaydır, örn. joe+123@example.com , joe+124@example.com ... Buna ek olarak, "Yarışmanın kazananları telefonla bilgilendirilecektir" ifadesi, oy pusulasını doldurmanın size herhangi bir ödül kazandırmayacağı anlamına gelir.

Kayıt formundaki kaptanlar otomatikleştirilmiş kayıtların veritabanınızı sular altında bırakmasını engeller, ancak yanlış kayıtlara karşı gerçek korumanız, herhangi bir ödül kazanmayan sahte kayıtların caydırıcı etkisiyle birlikte makul e-posta adreslerini kontrol etmektir (adresi doğrulayın ve mailinator gibi yasaklar).

Son olarak ... bu tür bir sisteme yönelik teorik saldırılar olsa da, pratikte bu kadar ısrarcı olmanız için birilerinin sizden gerçekten hoşlanmaması gerekecek.

Bazı iyi öneriler için teşekkür ederim. Yazık ki, henüz cevapları yükseltemiyorum.
sharp12345
2013-02-13 22:56:00 UTC
view on stackexchange narkive permalink

Seçmenlerden, oylama başlamadan önce oluşturulmuş eski bir facebook (veya twitter) hesabına sahip olmalarını isteyebilirsiniz; bu, bir kişinin yalnızca oy kullanmak için kaydolmasını imkansız hale getirecek bir şeydir ve birinin bu sosyal ağ sitesindeki hesaplar çok küçüktür ve muhtemelen ip adreslerini veya çerezleri izlemek ve proxy'leri kontrol etmek gibi başka yöntemlerle kullanılabilir

Proxy kullanan kullanıcıları kontrol etmek için çok çeşitli php komut dosyaları vardır, ancak bunları Google'da aramak veya stackoverflow'da sormak isteyebilirsiniz.

Ödül önemliyse, bir hesabın yaşı bir engel değildir. [Douglas Crockford'un uzun oyun gönderisinden] (https://plus.google.com/118095276221607585885/posts/CuBQjT38Gss): "Dört yıl önce bir üyeliği onayladım. Dün bu üye hesabı spam gönderdi. Bunu yapmak için tam olarak dört yıl beklediler. spam göndermeden önceki gün.
Birçok itibar sistemi, üyelere yetenekler verirken üyeliğin uzunluğunu dikkate alır. Bu, kötü oyuncular hemen kötü davranmaya başladığında işe yarar. Ancak uzun oyuna hiçbir etkisi yoktur. "
İlginç bir öneri, teşekkürler! Yukarıdaki adaşım bazı değerli noktaları ortaya koysa da, birisinin bu gibi durumlar için beklemede birden fazla eski hesaba sahip olma olasılığı düşük olduğundan, bu yine de yardımcı olmaz mı? (Bir bilgisayar korsanının kötüye kullanılmak üzere birden fazla saldırıya uğramış eski hesaba sahip olmasının mümkün olduğunu düşünmeme rağmen.)
GdD
2013-02-13 22:58:45 UTC
view on stackexchange narkive permalink

Vekiller ve Tor neden bir kullanıcının vicdansız olduğunun bir işareti olsun? Tor, birisinin gizlilik bilincine sahip olduğunun veya bilgiye erişimi kısıtlayan bir ülkede yaşadığının bir işaretidir. Proxy, bir kişinin bir iş ağından giriş yaptığının bir işaretinden çok, iyi olmadığını gösteren bir işarettir.

Tek bir kişinin, sonuçları çarpıtmak için hayali kimlikler kullanarak birden çok hesap oluşturmasını engellemeye çalıştığınızı varsayıyorum. Gerçekte bunu önlemenin bir yolu yoktur - yeterli zamanı ve eğilimi olan herkes, siz görünürlüğünüz olmadan bunu yapabilir. İnternetin en büyük sorunlarından biridir ve eğer çözerseniz milyarlarca dolar kazanırsınız.

İnsanların birden fazla hesap açmasını biraz daha zor hale getirmenin bazı yolları vardır, çoğunlukla harcadığı çabayı artırarak:

  1. Hesap oluşturmak için API çağrısı, herkesin sayfada manuel olarak yapmasını sağlayın.
  2. Hesap oluşturmanın bir insan olduğundan emin olmak için capcha'lar ekleyin ve diğer teknikleri kullanın. Basit bir matematik probleminin çözümünü isteyin, metin yerine grafiğe koyun
  3. Tüm e-posta adreslerini doğrulayın ve 90 günde bir şifrelerini değiştirmelerini sağlayın
  4. Şifre karmalarını inceleyin aynı parolaları bulmak için, aynı parolayı kullanan 20 hesabınız varsa, o zaman şansınız iyidir, tembel bir kişi sizinle oyun oynamaya çalışır. Elbette şifrenin ne olduğunu bilemezsiniz, ancak bu size bir başlangıç ​​noktası sağlar.
Evet, proxy'lerin ve Tor'un mükemmel şekilde haklı kullanımları olduğunu anlıyorum. Tahmininiz doğru, kukla hesapların sistemi oynamak için kullanılmasını engellemeye çalışıyoruz.
sharp12345
2013-02-16 20:55:44 UTC
view on stackexchange narkive permalink

Çevrimiçi seçmen sahtekarlığını sınırlamanın iyi bir yolu, kullanıcılardan kredi kartı bilgilerini girmelerini istemek veya bir paypal hesabı sahipliklerini doğrulamaktır.

Bu şekilde, adların benzersiz olduğunu da doğrulayabilirsiniz, böylece tek bir kullanıcının birden fazla kartı olsa bile, bunu kart sahibinin adıyla sınırlandırabilirsiniz.

The Bu yöntemin temel sınırlaması, kullanıcıların kredi kartı bilgilerini sizinle paylaşacak kadar size güvenmesi gerektiğidir.

Kullanıcılardan çok fazla bilgi veya adım talep etmek, onları hiç oy kullanmamalarına yol açar.

Siz veya kullanıcılar güvenlik konusunda endişeliyseniz, güvenilir bir üçüncü taraf hizmeti kullanabilirsiniz. kredi kartıyla ilgilenmek için, onlardan mümkün olan en küçük ödemeyi ödemelerini isteyin; bu, sahiplerinin bir kredi kartı gönderdiğini doğrulamak ve gerçek adını bilmek için yeterlidir.

Bu yöntemi önermiyorum, Bence seçmen sahtekarlığını önleme açısından en güvenli olanı.



Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...