web-dev-qa-db-ja.com

英国議会の電子請願システムは信頼できますか?

過去数日間、私はBrexit国民投票を(実質的に)「繰り返す」という請願について頻繁に聞いていましたが、それが オンライン請願 であることに気付きました。

「署名申請」フォームには名前、メールアドレス、郵便番号が必要なだけで、署名を確認するメールが届きます。

このシステムは安全ですか?誰かが毎回異なるアドレスを使用して継続的にフォームに入力する(そしてメールを確認する)ボットを作成することはできませんか? プライバシーページ を見ると、CAPTCHAシステムさえ備えておらず、ボットを防止するための唯一の「システム」は電子メール認証です。

最後に、署名者が英国人であることを保証するシステムがありません。

52
Matteo Umili

請願サイトは純粋に何かをサポートするのに十分な数があるかどうかを確認するためのメカニズムであり、もしそうなら、その何かは議会で議論されます。

いくつかのチェックとバランスがあります(たとえば、80,000の偽投票が識別され削除されました)が、これらの請願のいずれによっても決定されないため、ここでは強いレベルの信頼は必要ありません。

欧州出口国民投票のやり直しについては、約400万人の署名者がおり、ある程度の詐欺があっても、政府はそれが彼らが議論する必要があることであることをすでに知っています。

要約すると、この目的に必要なレベルまで信頼できますか?ほぼ間違いなく。詐欺がないと信頼できますか?番号。

78
Rory Alsop

一般的なコメント

すべての署名が実在の人物からのものであることを100%確信できますか?いいえ。チートを困難にするための予防策を講じることはできますか?はい。

イギリス政府ができることは、次のとおりです(実際にそうするかどうかはわかりません)。

  • Xが同じIPからの試行後に成功したキャプチャを要求する。
  • IPによるレート制限。確かに、同じ世帯の5人がサインアップを希望する場合や、同じ会社のネットワークで昼食時にチャットした後、10人がサインアップする場合があります。しかし、安定したパターンで100個のシグネチャを取得すると、誰かが数字を膨らませようとしていることをかなり確信で​​きます。
  • IPの地理位置情報を取得し、入力した郵便番号と関連付けます。ほとんどの人はこれをVPNやプロキシなしで自宅から行います。署名の90%が一致した場合、それらのほとんどは合法であり、かなり安全です。
  • データ内のパターンを探します。 2時間の間にサインアップに奇妙なスパイクがあり、それらのサインアップが他のサインアップとは異なる特性を持っている場合は、誰かがその期間中にボットネットをレンタルしたことが原因である可能性があります。
  • 請願が制限に達したら、無作為に選択した署名者を選び、それらを検証しようとします。これは、例えば、行うことができます。それらに電子メールを送り、請願書で使用した名前に記載されている英国の電話番号から電話をかけるように依頼する。これにより、署名の何パーセントが偽物であるかについての上限見積もりが得られます。

ボットネットを持つスマートな攻撃者はこれらのことを克服できますか?おそらく、しかしそれはレベルを上げます。

ケーススタディ

Stu-W にリンク a Python script は、請願書に自動的に署名するために使用されます。スクリプトには、簡単に使用できるいくつかの弱点があります偽造品を除外するには:

  • ポストコードは、スクリプト(SW1A 0AA)にハードコードされた定数です。たとえ個々のユーザーがそれを変更したとしても、同じ投稿コードからの署名が短時間で大量にある場合、それは完全に無料になります。
  • 使用される電子メールは、Python tempmail モジュールで生成されます。これは temp-mail.r サービスのラッパーにすぎません。したがって、それらが使用するドメインをフィルターで除外することでうまくいきます。
  • 名前は、「ûqvknzõâ」のようなランダム化された文字の集まりです。
  • すべての投稿は同じIPアドレスからのものです。したがって、データベースからY時間内にX個を超えるシグネチャを持つIPをレート制限またはフィルターで除外します。
  • 信頼できるUser-Agentヘッダーを設定する試みはありません。

つまり、このスクリプトはかなり馬鹿げています。それは請願書に署名するために使用できたとしても、明らかに偽の署名が後でフィルターで除去されないことを意味しません。送信したからといって、カウントされるわけではありません。

20
Anders

これが英国でどのように行われているかはわかりませんが、これは、請願書が政府に提出されるときはいつでも、オランダで行われている方法です。

  • 署名のランダムなサンプルが取得されます。
  • これらの署名は検証されます(署名したかどうかを尋ねるように電話をかけると思います)。
  • 次に、有効な署名と無効な署名の比率が請願全体に適用されます。

請願書の十分な署名が有効である場合、請願書は議会によって考慮に入れられなければなりません。

英国の請願の threshold は政府によって検討される10,000であり、討論のために検討される100,000であるため、0.3%(検討)/ 2.7%( 3,677,062シグネチャ の議論は有効でなければなりません。

15
user2428118

ガバナンスツールの場合:

興味深い点が1つあります。投票の分布を示すマップがあります: http://petitionmap.unboxedconsulting.com/?petition=131215

投票は全国で行われており、分布は人口密度に従っているように見えます(ロンドンでの投票数が増える...)。複雑なボットはそれを模倣することができますが、それは速いですか?これはありそうにないようです。

これには、40億の異なるメールアドレスを提供する必要があります。ほとんどのプロバイダーはチェックを実行し、広く使用されておらず、ボットから保護されていない1つまたは2つのメールドメインを使用している場合でも、それらの投票を検出して破棄できます。

さらに、それは政府のツールであるため、かなりのチェックが可能です(同じIPを大量に検出してプロキシIPを禁止するなど)が、私はそれらを知りません。

したがって、政府のツールを使用したこの請願は、メールアドレス、郵便番号の再分割を考慮して非常に多くの票を生成するため、信頼できるように思われます。

編集:DWコメントへの回答:OPが4000000票の1つの請願に関して政府ツールが信頼できるかどうか疑問に思っているので、私がこの場合に言っていたのは間違いなく信頼できる、偽の投票は十分にフィルタリングされ、とても代表的です。

今、もしあなたが1万票を要求したなら、偽の投票が信頼できないほど代表的である可能性があります。

3
Walfrat

郵便番号をIPの場所に一致させることはできません。英国ではPlusnetを使用しており、場所に基づいて場所を確認すると、ダンディ(数百マイル離れた場所)にあると表示されます。したがって、それを使用してチェックすることはできません。

同様に、数百万のメールアドレスは必要ありません。エイリアスが1つあるだけで、メールアドレスが実際にチェックされていることが前提です。

最近まで請願書はほとんど些細な問題のためだったので、請願サイトが詐欺の検証を念頭に置いて構築されたとは思えません。メールの返信と郵便番号と名前の重複チェッカーを使用した、おそらく単純なWebフォーム(複数の人が同じ場所に住むことができます)

3
gbjbaanb

選挙人名簿 に対して名前と郵便番号を確認できます。 80,000の不正な名前が削除されたと彼らが言ったとき、私はそれらが一致しないものであると期待します(これは確かにわかりません)。

しかし、これには欠陥があります ほとんどの 選挙人名簿は公開されています。

2
paj28

答えは「いいえ」ですが、この場合は問題ではありません。それはすべて、「指標」にあります。 「見られる」ために信頼される必要はありません。

もし誰かがインターネット投票をするなら、このシステムを使うのは非常に、非常に悪い考えでしょう。

2
John Keates

考慮しなければならないのは、技術的なセキュリティだけではありません。秘密の投票であるオンライン投票システムはありません。特定の方法で投票するという社会的圧力を排除する方法はありません。世帯の支配的なメンバーは、他の家族をいじめたり、自分の電子メールアドレスを使用して署名したりすることができます。

1
Michael Kay

フェイルプルーフにすることはできませんが、考慮に入れるパラメーターの量を増やして、チートの最大パーセンテージが統計的に無意味になるようにすることができます。

それでも、私はフランスに住んでおり、一生に1週間ほどウェールズに行ったことがあります。1ジャマイカストリートに住んでいるロンドン人として請願書に署名しました。私のWebブラウザーには地理位置情報を使用する権限がありませんが、しませんでしたVPNまたはプロキシを使用して、見つけられるようにします。 1つまたは2つの適切な予防措置を講じれば、私は完全に合法のロンドン人と見なすことができたかもしれませんが、私は私たちの穴の種の1人にすぎません。

請願が信頼できるかどうかは、統計的考察と信頼性の定義に依存します。

0
user2189