O webu
    Hlasování v anketě pouze jednou

    Hlasování v anketě pouze jednou

    Bezpečnost , Rady a nápady

    Jak umožnit návštěvníkům hlasovat v anketě pouze jednou.

    Pokud je na stránce anketa a je cílem, aby hlasování nemohlo být záměrně příliš zmanipulované, je vhodné podniknout několik kroků.

    Uložení cookie

    Ukládat cookie jako ověření, zda uživatel hlasoval, je v podstatě k ničemu. Cookies jdou v prohlížeči vypnout nebo vymazat. Uživatel může mít víc prohlížečů a navíc v dnešní době existují prohlížeče umožňující otevření anonymního okna, čímž ochrana pomocí cookie nebude funkční.

    Pokud je anketa nechráněná vůbec nebo nechráněná pomocí cookies, stačí si v prohlížeči spustit jednoduchý skript a hlasy budou díky časovači setTimeout bleskově naskakovat:

    setInterval(
  function() {
      var img = new Image();
      img.src = "http://example.com/hlasovat?volba=1";
  }, 
  1000 // Hlasování každou vteřinu
);

    Kontrola IP adresy

    Ověřování IP adresy vyžaduje ukládání jednotlivých hlasů (ideálně do DB) a následné testování, jestli daná IP adresa již nehlasovala.

    Omezení na IP adresy má lehké nedostatky:

    1. Více uživatelů může mít jedinou IP adresu, ale hlasovat bude moci jen ten první.

    2. Jeden uživatel může mít více IP adres. Doma, v práci, během dne při připojení z mobilních zařízení není problém mít hned vyšší jednotky různých IP adres.

      Kromě toho jde použít různé anonymisery, VPN a proxy servery.

      Ve větších městech se stačí projít po ulici a připojovat se k různým otevřeným Wi-Fi sítím.

    Ochrana před CSRF

    I při kontrole IP je naprosto klíčové mít u ankety ochranu před CSRF. Bez takové ochrany může hlasování snadno zmanipulovat majitel hodně navštěvovaného webu, když bude prostřednictvím svých návštěvníků tajně hlasovat.

    Stačí k tomu jednoduché pingnutí pomocí JS na hlasovací skript.

    var img = new Image();   
img.src = "http://example.com/hlasovat?volba=1";

    Případně vložení obrázku značkou <img>:

    <img scr="http://example.com/hlasovat?volba=1">

    Takové hlasování se potom tváří zcela legitimně.

    Registrace

    Registrace dokáže vyřešit/omezit problém, kdy jeden člověk dokáže hlasovat z více IP adres. Registrace zabere nějaký čas, což zvýší pracnost a sníží tak motivaci hlasování manipulovat.

    Na druhou stranu nutnost registrace odradí mnohé poctivé zájemce o hlasování. Řešení může být požadovat přihlášení přes Facebook/Twitter účet, kterým disponuje prakticky každý a přihlášení je otázka několika málo kliknutí.

    Ukládání údajů

    V každém případě je ideální si ke každému hlasu ukládat co možná nejvíce dat. Půjde případně zpětně vyloučit podivné hlasy.

    Odkazy jinam

    To je všechno. Líbil se vám článek a chcete se dozvědět, až vyjde další?

    Sledujte:

     

    Připomínky mi pište do komentářů ↓

    Podobné stránky

    Bezpečnostní risika webu

    Bezpečnost webových stránek

    Bezpečnostní risika na webových stránkách a jejich řešení a prevence.

    Maskování a zobrazování hesla ve formuláři

    Maskování a zobrazování hesla ve formuláři

    Je lepší heslo ve formuláři zobrazovat, nebo ho maskovat pomocí hvězdiček?

    Zabezpečení čísla objednávky

    Jak zabezpečit číslo objednávky v e-shopu

    Jakým způsobem bezpečně sestavit číslo objednávky zboží v e-shopu.

    Načítání webu v IFRAME

    Načítání webu v <iframe>

    Je rozumné blokovat načítání webu v <iframe>? Jaká jsou risika a výhody.

    Jak vytvořit bezpečné heslo

    Bezpečnost hesel

    Postup, jak si vymyslet a zapamatovat dostatečně silné heslo.

    Before a after u inputu

    Before a after u <input>u

    Funguje, nebo nefunguje použití :before a :after u <input>ů?

    BEM: způsob zápisu CSS

    BEM – způsob zápisu CSS

    BEM (Block, Element, Modifier) je postup, kterým zapisovat CSS pravidla a pojmenovávat CSS třídy.

    Komentáře

    Web jecas.cz píše Bohumil Jahoda, kontakt
    Seznam všech článků
    2013–2024