web-dev-qa-db-ja.com

インターネットコンテストでは、入力パラメーターとしてメールのみを使用してユニークな投票をどのように検証できますか?

私のコンピューターセキュリティコースでは、さまざまな悪意のある活動を防ぐために(ネットワーク経由ですぐに利用できる)ユニークユーザーの属性を使用するさまざまな方法をブレインストーミングしています。スパムを削減し、ボットネットを特定するために、メール属性のクラスタリングについてはすでに調査済みです。今日、インターネットコンテストのユニーク投票の有効性について質問されましたが、本当に困惑しています。条件は次のとおりです。

ユーザーが1日に1回投票できる1週間のコンテストがWebサイトで実行されています。投票に必要なアカウントやログインはありません。入力する必要があるのは有効なメールアドレスだけです。確認メールは送信されません。コンテストの完全性を維持するために何ができますか?

-IPの追跡について考えていましたが、多くのコンピューターが単一のネットワークの一部になる可能性があります。各コンピューターに固有のIPよりも具体的で、ネットワーク経由でもアクセスできるものはありますか?

-また、ユーザーが複数の有効な個人用メールアドレスを入力するのを防ぐにはどうすればよいですか(たとえば、私は店で配布するスパムメールアドレス、大学のメールアドレス、そして使用していない古いアドレスを持っていますが、彼らはすべて有効です!)。

-IPスプーフィングをしている人物がコンテストに不正に勝つことはできますか?

私はここで同様の質問をされるのを見ましたが、それらはすべて不正行為を最小限に抑えるための非常に複雑な手順を含んでいます。これは非常にシンプルで、明らかに多くの穴があります。

emailip-spoofing
4
SwaroopGiwali

IPの追跡について考えていましたが、多くのコンピューターが単一のネットワークの一部になる可能性があります。各コンピューターに固有で、ネットワーク経由でもアクセスできるIPよりも具体的なものはありますか?

最初に頭に浮かぶのは、Cookieを使用してユーザーを追跡することです。もちろん、簡単に取り除くことができます。おそらく evercookie ?うーん。

また、人々が複数の有効な個人用メールアドレスを入力するのを防ぐにはどうすればよいですか(たとえば、私は店で配布するスパムメールアドレス、大学のメールアドレス、そして使用していない古いアドレスを持っていますが、それらはすべて有効です!)。

メールアドレスを他の何かに結び付けなければ、これはまったく不可能です。頭に浮かぶ可能性のある考えは、以前に使用されたIPアドレスまたはCookieを使用してコンピューターから送信された電子メールアドレスを無効にすることです。これを回避することは不可能ではありませんが、テクノロジーに精通していない、または決意のないチートを阻止する可能性があります。

コンテストは、IPスプーフィングをしている人物によって不正に勝たれる可能性がありますか?

コンテストの規模によって異なりますが、おそらくそうです。別の可能なシナリオは、ボットネットを使用してコンテストをゲームすることです。

あなたが取ることができる他の可能な対策のいくつかは何ですか?

コンテストには物理的な賞品が含まれますか?もしそうなら、物理アドレスはチートを取り除くための非常に良い方法かもしれません。物理アドレスよりも15種類の有効な電子メールアドレスを作成する方がはるかに簡単です。

あなたの賞はどれくらい価値がありますか?チートはどれだけ遠慮なくあなたのコンテストに参加しますか?明らかに、あなたが実行したい手段は、問題の賞の価値に依存します。

あなたのシナリオでは、

ユーザーが1日に1回投票できる1週間のコンテストがWebサイトで実行されています。投票に必要なアカウントやログインはありません。入力する必要があるのは有効なメールアドレスだけです。

決まったチートを止めるためにあなたができることはたくさんあるようには見えません。

5
user10211

  • あなたの質問で述べたように、人々は複数の有効なウェブアイデンティティを持っている傾向があります。複数のIDが同じ人物に属しているかどうかをWebサイトが識別するのは非常に困難になります。

  • 自分が持っている条件で人々が2回以上登録するのを防ぐために、本当に多くのことを行うことはできません。

投票に必要なアカウントやログインはありません。入力する必要があるのは有効なメールアドレスだけです。確認メールは送信されません。

  • 複数のエントリを回避するために、登録ではユーザーから複数のパラメータを取得する必要があります。携帯番号またはそれらが登録フォームに記入するようにすることができます。これらのパラメータは、SMSまたは電子メールを送信して検証する必要があります。
  • 登録数が少なくなるため、このレベルの複雑さをオンラインコンテストに追加することはお勧めしません。
  • 私が見た一般的に使用されているアプローチの1つは、あなたが人を作ることですテキストメッセージを送信して登録。これでも、ユーザーによる複数の登録が発生する可能性がありますが、オンライン登録と比較すると、状況ははるかに制御下になります。
3
Shurmajee

このアプローチはボットネットを阻止しません。

10万台のマシンからなるボットネットを所有している場合、各マシンの検索でOutlookやその他のメールプログラムの構成ファイル内の返信先アドレスを検索することで、10万票を投じることができます。次に、各マシンに、見つかった電子メールアドレスを使用して1つの投票を送信します。

これは不正行為ですが、各投票は実際には別のマシンから送信され、電子メールアドレスはそのマシンのユーザーに実際に関連付けられているため、合法的に見えます。

2
Mike Samuel

人間の努力を各電子メールアドレスに関連付けることができます。私は「アカウント」のバリエーションを考えていますが、投票者が認識しているものは考えていません。読解の質問を投票を送信できるように接続するようなものです。

ユーザーに4つの可能な回答を含む質問を送信してもらいます。投票は、他の人の質問に正しく回答した場合にのみ登録されます。査読のようなもの。 (もちろん、誰もが正しい答えを得ることができない質問を投稿できないようにするシステムが必要です。おそらく、いくつかのガイドラインと提出された質問の使用の漸進的な進展ですか?1週間を超えると、投票が分割されます7 *数字で正解しますが、統計的に非常に少ない人が正しく答えた質問/回答セットを破棄します...)

私の知る限り、AIによるセマンティック分析は、全体として良い結果をもたらしません。

評判のStack-Exchangeネットワークのようです。ボットはおそらく評判を得ることはありません。ただし、これは、シナリオで許可されていないアカウントを前提としています。

0
Rafael Emshoff