«Poll Improved
IP address restriction has been changed to cookie based solution so that users behind a firewall will be able to vote.
Cookie based restriction can optionally be strengthened with IP address checking.»
Достаточно ли этого для защиты от накруток или есть решения получше? Механизм защиты с cookie и ip как работает -- будут ли проблемы у тех, кто за NAT?
Авторизацию через email, соц. сети в расчет не берем.
Комментарии
защита тут очевидно строится на том, что если проголовал, то получи куки с шифровкой. Если еще раз проголосуешь - то куки отправишь назад и на сервере тебе незачет. А соседу - зачет, поскольку он хоть и на том же IP, но кук у него другой, неголосовавший. После каждого запроса куки будут переписываться, что не даст возможность отдать неголосовавшее куки соседу, который уже проголовал. Вместе с гугл капчей - да, достаточно для защиты.
Но что вы будете делать против биржи капчей - голосовалок?
Если люди за рубль капчу разгадывают, то просто проголовать - 10 копеек будет. Так что нет у нас методов против Кости Сапрыкина
А как быть со сносом куки или режимом инкогнито который сейчас повсюду?
Ну нет куки - нет и голоса конечно. Режим инкогнито - а чему он мешает? Этот режим куки НЕ сохраняет, и НЕ пользуется старыми куками с прошлых сессий, но в течение своей сессии он их юзает, иначе в таком режиме невозможно будет авторизоваться на Друпал сайте например.
Открываем браузер, включаем инкогнито, заходим на сайт, голосуем, закрываем браузер все куки умерли и так по кругу...
Все таки внутри одной сессии для конкретного сайта он по видимому куки сохраняет, т.к. есть возможность авторизоваться.
Нет? Банить по кол-ву голосов с одного IP не можем т.к. НАТ сейчас широко распространен.
не так просто наверное, там обязательно идет подмес разрешения экрана скорее всего, еще каких то "персональных" типа данных которые можно здесь и сейчас получить.. трекинг мыши, LocalStorage, файловая система, можно запутать сильно, но видно же - нет тут полной защиты. да понятно все
Кости Сапрыкина он "хорош", думаю нужна полная картина? где куки и определения по айпи проверки, и никто в здравом уме не будет наверно расскрывать способы защиты, ютюб например до сих пор не может найти способ от защиты накруток.
Партнерка к примеру определяет, накрутку по переходу по ссылке, но это ручной труд модератора.
https://github.com/Valve/fingerprintjs2
Всё руки не доходят поковырять, но по идее должен снимать слепок системы пользователя для его более-менее однозначной идентификации.
Ну ничего себе)) спасибо по "шарю" его