Všechny zdravím,
používám na stránkách obce phpRS 2.5.5. Protože obec řeší otázku možné stavby kostela, dal jsem na stránky anketu - Souhlasíte se stavbou kostela? -ANO -NE.

Na 99% došlo k úmyslnému zneužití.
Vycházím ze statistiky návštěvnosti těchto stránek. V tabulce Jedinečných návštěv (průměrně tam bývalo něco kolem 50-100) bylo včera 370.
V tabulce Reloady (průměrně bývalo něco kolem 200-400) bylo včera 8718.

Sám mám ty zkušenosti, že z jednoho PC za použití jiných browserů můžu hlasovat i víckrát.

Jak se chránit?

Díky za radu :)

Pokud se nepletu, nová verze phpRS (2.6.5) to nějak řeší.

Martin Fous [http://www.zsjvm.cz]

anketa dokud bude anonymni, tak je vzdy zneuzitelna, jedine reseni by bylo, ze muzou hlasovat pouze prihlaseni useri a u tech se bude evidovat, ze uz pro danou anketu hlasovali

Anketa v phpRS 2.5.5 je hodně lehce zneužitelná pouhým vypnutím cookies ... pak můžeš odeslat hlasů kolik chceš ... v phpRS 2.6.5 to snad kontroluje i jestli z té IP adresy nebylo před nedávnou dobou (tu si můžeš nastavit třeba na den, hodinu atd.) už hlasováno - aspoň myslim. Já sám používám phpRS 2.5.5b - mám tam moc úprav, tak jsem se do přechodu na 2.6.5 ještě nijak nehnal - není čas ...

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Anketa je ľahko zneuziteľná - to je pravda, hlavne z mozilly a firefoxu nie je problém prehľadne spravovať cookies sedení a trvalé cookies. Jej určenie (ankety) vidím skôr pre veci informačného charakteru, kde nie je predpoklad, že bude záujem o zámerné skreslenie údajov. 100% bezpečné riešenie neexistuje, jedine že by sa použilo hlasovanie na základe autentifikácie nejakou certifikačnou autoritou - t.j. overenie mailom s elektronickým podpisom a pod. To je myslím nereálne. Význam ankety vidím skôr v štatistickom výskume pre užívateľa naoko nepodstatných maličkostí, ktoré však pre autora majú zaujímavú informačno-marketingovú hodnotu. Myslím, že je vhodné venovať sa viac správnemu výberu otázky ako zabezpečeniu ankety proti zneužitiu.

Můžeš mrknout taky sem ... člověka to přeci jen trochu víc odradí, pořád vyplňovat formulář, než jen klikat na odkaz do aleluja ... jen upozorňuju, že jsem tam pak dělal ještě nějaký úpravy, protože byly např. zapisovány cookies i při odeslání prázdného hlasu atd. ... kdybys s tim potřeboval pomoct, tak napiš ;-)
[http://www.phprs.net/forum/read.php?2,3052,5217#msg-5217]

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

Myslím si, že by byla cesta přes zmíněné hlasování pouze přihlášených čtenářů a evidování, kdo z čtenářů už hlasoval (do tabulky pro ankety by se přidal sloupec, kam by se zapisovaly po hlasování id čtenářů). Nepřihlášeným by se pak mohla anketa objevovat pouze jako uzamčaná, bez možnosti hlavovat (nebyly by tam aktivní odkazy).
Možná by stačilo přidat do příslušného souboru podmínku kontrolující přihlášenost a skutečnost, zda už čtenář nehlasoval (že jeho id není u ankety evidováno). Pokud by to prošlo, použil by se standardní kód pro anketu, pokud by byla některá z podmínek porušena, objevila by se anketa bez aktivních odkazů (asi by to byl původní kód se snazanými odkazy = možnosti odeslat hlas a také cookies.

Chtělo by to okouknou, zda by to šlo udělat jako volitelný modul, podobně jako Michal upravil editaci článků pro 2.6.5 s FCKeditorem.

Martin Fous [http://www.zsjvm.cz]

Samozrejme pri ošetriť hlasovanie len pre registrovaných ešte tak, aby mohli hlasovať len užívatelia registrovaní dlhšie ako týždeň.... ale to už vzniká veľa obmedzení, ktoré aj tak nezaručia objektivitu.

To máš pravdu. Na 100% to nikdy nebude. Omezením na registrované by odpadlo takové to bezmyšlenkovité klikání v anketě (na našem webu ZŠ se to děje často).

Martin Fous [http://www.zsjvm.cz]

Presne, ak by to bolo čo i len trošku zložitejšie, BFU by to už odradilo. Ak stačí len viackrát kliknúť, zneužitie si to priam pýta. Príležitosť robí zlodeja. Každopádne nová verzia to rieši myslím postačujúco.

Jen pro registrované je to pro většinu webů nesmysl ... ale jinak bys to aspoň měl jistý, že ti nikdo nehlasoval dvakrát ... pokud by se nezačal registrovat pod více čtenáři :-/

========================
WEB: Publikační systém WAMOS
SEO: SEO analýza zdarma
OPEN PROJECTS: Studentský portál VUT
HOSTING: WebGlobe.cz
ICQ: 313887644
EMAIL: xsuchy09(at)centrum.cz
========================

pa3k napsal/a:
-------------------------------------------------------
> Presne, ak by to bolo čo i len trošku zložitejšie, BFU by to už odradilo. Ak stačí len viackrát kliknúť, zneužitie si to
> priam pýta. Príležitosť robí zlodeja. Každopádne nová verzia to rieši myslím postačujúco.

BFU je rad, ze hlasuje jen jednou... :-D



-- JaV ---- [http://www.hades.cz] ---- security by obscurity ---------------------------------------------
motto:
It's OK to be ignorant; it's not OK to play stupid.
But it's simply not efficient for us to try to help people who are not willing to help themselves.
----------------------------------------------------------------------------------------------------------------------

To VODIM: a toto si si uz opravil? [http://www.supersvet.cz/bugreport.php?akce=openbug&bugid=9&bugfilter=datum&bugstrana=1]

Neviem preco to tu este nik nespomenul, myslim, ze prave toto je tvoj problem.


--
zvalo | Vas optimizmus je sposobeny nedostatkom informacii

Myslím, že tento bug sa týka bezpečnosti a nerieši možnosť opakovaného hlasovania. Každopádne dobrá poznámka, záplaty predovšetkým!