Остановка пользователей, голосующих многократно по веб-сайту

Извините у меня нет полезного ответа, я просто хочу обменяться своим опытом.

приблизительно 8 лет назад я работал на сайт, который выполнил опросы онлайн. Мы когда-то были взломаны некоторыми ботами, голосующими по некоторым нашим вопросам несколько сотен голосов в минуту.

я должен был реализовать некоторые чрезвычайные проверки: IP-адрес, cookie, и я действительно не помню что еще.

В конце дня мы решили провести опросы вниз. Те проклятые роботы просто не заботились. Адреса IP имитировались, cookie удалялись, и т.д.

при действительно реальной необходимости в опросах для невзлома, я не вижу никакой другой путь который, требуя регистрации и с помощью капчей для предотвращения ботов, регистрирующих новые аккаунты.

И печальная вещь то, что это было просто сайтом развлечений с опросами на том, что является Вашим любимым цветом и подобными вещами.

единственная вещь мы не сделали попробованный, использовал капчи, потому что они не существовали в то время. Это, возможно, уменьшило нечеловека, обманывающего очень.

не берут это в качестве никакого вида совета специалиста по вопросу, потому что это было единственным временем, я имел какое-либо отношение к опросам онлайн, но я помнил свою историю и хотел совместно использовать.

Вы уже назвали все применимые решения.;) Это - Ваша задача решить теперь.

я рекомендовал бы комбинировать проверка cookie и IP.

Также возможность:

позволяют пользователю голосовать и заполнить свой emailaddress. Пользователь получает confirmationemail со ссылкой, на которую он должен нажать для подтверждения его голоса.

, Но этот путь, у пользователя также есть некоторые служебные.

Или делают это в сочетании с зарегистрированными пользователями (кто не будет вынужден подтвердить)

Используйте основанный на cookie подход, это достаточно точно для большинства опросов класса развлечений в сети. Держитесь подальше от ограничений IP. Это означало бы, что только один человек от более крупных компаний добирается для голосования и что только один человек в семействе добирается для голосования.

Как был сказан нет никакого 'идеального' решения.

Как попытка несовершенного решения, как насчет того, чтобы хранить хеш IP-адреса и Агента пользователя.

Это означало бы, что различные пользователи от данного IP, которые имеют различные агенты пользователя браузера, могут все еще голосовать.

Я думаю, что необходимо зарегистрировать пользователя, прежде чем он / вниз будет голосовать. Можно заставить маленький кусочек информации от пользователя быть зарегистрированным, таким образом, он не делает надоевший или повреждает свою регистрацию. Впоследствии он может обновить свою учетную запись, если он хочет. По моему скромному мнению, это - лучшее решение.

Очевидно, необходимо идентифицировать пользователя, таким образом, он может только голосовать однажды. Но определите, что пользователь does'nt подразумевает, что необходимо открыться экран входа в систему. Столь же сказанный выше Вас может попросить адрес электронной почты, ответ используют его как identfier.

Никакое упоминание путь stackoverflow работы, если у пользователя есть что-то для завоевания (здесь reptutation) при становлении пользователем регистра и если процесс входа в систему так же прост как предоставление адреса электронной почты, то это - взаимовыгодная ситуация, в которой пользователь рад войти в систему и голосовать, и Вы рады иметь его зарегистрированные и голосующие вещи (и только однажды на вопрос).

Jeff Atwood записал статья о "барьере входа в систему" , который может дать Вам ключ к разгадке.

Интересно, могли ли Вы сделать это многоступенчатым процессом, для создания этого более трудным для БОТОВ.

Регистрация или некоторая подобная задача, получает Вас Cookie-A, и затем когда Вы голосуете за то, чтобы Вы получили Cookie-B, но если Вы имеете Cookie-B и не имеете подходящего Cookie-A соответствия, Ваш голос не рассчитывает. При попытке потворить регистрацию на той же машине, которая может быть обнаружена Вами уже наличие Cookie-A. Прохождение через шагов слишком быстро рассматривают как BOT.

у Нас был психометрический тест со многими вопросами, и пользователи должны были сделать вдумчивые ответы. Ответ в sub-N секунды был кем-то просто нажимающие кнопки для прохода через него. Мы никогда не говорили им, что их ответ был слишком быстр, мы просто отметили данные как "подозреваемого".

, Таким образом, любой пытающийся перейти прямо к Кнопке Голосования не будет работать. Они должны были бы сделать Неродной-A, затем неродной-b затем неродной-C в порядке.

К повторному голосованию я должен был бы очистить cookie, потворить регистрацию, считать страницу аннотации (вообще) и наконец повторное голосование, все в правильном порядке, и не слишком быстро.

Требование, которому может помочь JavaScript, который будет включен, как может система Капчи. Капча могла иметь своего рода задержку - "Смотрите, поскольку эти два слова появляются" так, чтобы было два слова, показанные один за другим, но "реальные слова" так, чтобы они могли быть легко запомнены и затем введены. Любой ответ, который "слишком быстр", не допустим.

В какой-то момент люди просто станут раздраженными и не беспокойство все же.

Так, Вы хотите иметь каждого уникального человека, имеют только одно голосование по каждому объекту. Когда человек пытается голосовать, кто уже голосовал прежде, Вы хотите обнаружить это. Это означает, что необходимо идентифицировать человека. Нет никаких приемов для обхождения этого.

Теперь, так как люди могут войти в систему от любого компьютера, определив , компьютер не помогает. Это исключает проверки IP и cookie, а также что-либо еще на основе аппаратных средств пользователя.

, Как идентифицировать человека? Вы не можете. Можно только вынудить их идентифицировать себя, путем обеспечения уникальных учетных данных, как номер социального страхования (я думаю, что это часто используется в Корее), номер паспорта, или подобный. Это, конечно, не помогает, если Вы не проверяете его, так как любой может составить 10 чисел цифры с небольшим шансом коллизии.

Даже наличие пользовательского регистра действительно не помогает по сути - они могут просто зарегистрировать другую учетную запись.

Я думаю, что это действительно сводится к природе Вашего веб-сайта, и насколько точный Ваши результаты должны были быть.

Используя cookie походит на наилучший вариант, но он зависит от целевой аудитории Вашего веб-сайта. Они были бы достаточно технически подкованы, чтобы попытаться разбить систему, чтобы позволить им голосовать многократно? В противном случае риск должен быть довольно низким, и это походило бы на лучший подход.

Проверка по сравнению с IP-адресом, как Вы сказали, может быть слишком строгой. Но если очень важно для всех голосов быть от уникальных людей, это могло бы быть лучшим подходом, даже если это означает, что некоторые законные избиратели не доберутся для голосования.

я думал о другой опции, но я не уверен, возможно ли это или выполнимо. Если бы Вы могли бы объединить подход IP-адреса с основанной на аппаратных средствах проверкой (например, MAC-адрес NIC), это устранило бы подход IP-адреса, являющийся слишком строгим из-за NAT в LAN. Но не помогло бы ситуации, где у Вас есть компьютер в интернет-кафе, используемом различными людьми.

необходимо также использовать капчу (для не зарегистрированные учетные записи) для сокращения вероятности голосующих ботов. Если кто-то захочет злонамеренно отдать несколько голосов, то делание его более трудный для них для автоматизации избирательного процесса через ботов поможет, надо надеяться, уменьшить возникновение такого поведения.

Нет никакого точного способа избежать нескольких голосов от того же пользователя, даже если они не удаляют cookie, они могут использовать другой браузер или другой компьютер.

Однажды я создал систему голосования для конкурса. Мне было запрещено ограничивать количество голосов по IP-адресу, поскольку несколько человек могли правомерно голосовать с одних и тех же IP-адресов. Таким образом, я выбрал метод подтверждения по электронной почте, требующий от каждого избирателя ввести адрес электронной почты, на который была отправлена ​​ссылка для подтверждения, который при нажатии активирует его голос и предотвращает дополнительные голоса с использованием этого адреса.

Это не сработало. Люди создали сотни фальшивых адресов электронной почты на различных бесплатных сайтах.

Что действительно сработало во втором туре голосования, что несколько удивительно, так это добавление пар электронный адрес / голос в базу данных, но не немедленную отправку электронных писем с подтверждением. Вместо этого у меня было задание cron отправлять их партии каждые 15 минут или около того. Это добавляет дополнительные сложности для людей, регистрирующих много адресов,