¿Cómo puede un concurso de Internet verificar votos únicos con solo un correo electrónico como parámetro de entrada?

4

Para mi curso de seguridad informática, estamos pensando en diferentes formas de usar atributos para un usuario único (que están fácilmente disponibles en una red) para evitar varias actividades maliciosas. Ya hemos investigado los atributos de correo electrónico de agrupación en clústeres para ayudar a reducir el correo no deseado y posiblemente localizar botnets, junto con otras cosas. Nos preguntaron acerca de la validación de los votos únicos para los concursos de Internet de hoy, y estoy realmente perplejo. Aquí están las condiciones:

Un sitio web está ejecutando un concurso de una semana de duración en el que los usuarios pueden votar una vez por día. No hay cuentas ni inicios de sesión necesarios para votar, todo lo que necesita proporcionar es una dirección de correo electrónico válida. No se envían correos electrónicos de verificación. ¿Qué puedes hacer para mantener la integridad del concurso?

-Estaba pensando en rastrear las IP, pero muchas computadoras pueden ser parte de una sola red. ¿Hay algo más específico que una IP que sea único para cada computadora, al que también se pueda acceder a través de una red?

-También, ¿cómo puede evitar que las personas ingresen múltiples direcciones de correo electrónico personales válidas (por ejemplo, tengo una dirección de correo electrónico de spam que entrego en las tiendas, una dirección de correo electrónico de la universidad y luego una antigua que no uso , pero todos son validos!).

-¿El concurso puede ser ganado ilegítimamente por alguien que está falsificando la propiedad intelectual?

He visto algunas preguntas similares aquí, pero todas contienen procedimientos muy complejos para minimizar las trampas. Este es muy simple, y obviamente hay muchos agujeros presentes.

    
pregunta SwaroopGiwali 26.02.2013 - 06:19
fuente

4 respuestas

5
  

Estaba pensando en rastrear las IP, pero muchas computadoras pueden ser parte de una sola red. ¿Hay algo más específico que una IP que sea único para cada computadora, al que también se pueda acceder a través de una red?

El primer pensamiento que viene a la mente será utilizar cookies para rastrear a los usuarios. Por supuesto, eso se puede quitar fácilmente. Tal vez algo como el evercookie ? Hmm.

  

Además, ¿cómo puede evitar que las personas ingresen múltiples direcciones de correo electrónico personales válidas? ¡pero todos son válidos!).

Sin vincular la dirección de correo electrónico a otra cosa, esto es bastante imposible. Un posible pensamiento que viene a la mente sería invalidar cualquier dirección de correo electrónico enviada a través de una computadora con una dirección IP o cookie utilizada anteriormente. Esto no es imposible de evadir, pero podría disuadir a los tramposos más expertos en tecnología o determinados.

  

¿El concurso puede ser ganado ilegítimamente por alguien que está falsificando la propiedad intelectual?

Depende de la escala del concurso, pero lo más probable es que sí. Otro posible escenario sería usar botnets para jugar tu concurso.

¿Cuáles son algunas de las otras medidas posibles que puede tomar?

¿Tu concurso implica un premio físico? Si es así, las direcciones físicas podrían ser una buena manera de eliminar los tramposos. Es mucho más fácil encontrar 15 direcciones de correo electrónico válidas diferentes que las direcciones físicas, ¿eh?

¿Qué valor tiene su premio? ¿Hasta dónde estaría dispuesto el tramposo para ir a jugar tu concurso? Obviamente, la medida que deseará implementar depende del valor del premio en cuestión.

En tu escenario,

  

Un sitio web está ejecutando un concurso de una semana de duración en el que los usuarios pueden votar una vez por día. No hay cuentas ni inicios de sesión necesarios para votar, todo lo que necesita proporcionar es una dirección de correo electrónico válida.

No parece que haya mucho que puedas hacer para detener un tramposo determinado.

    
respondido por el Ayrx 26.02.2013 - 06:29
fuente
3
  • Como mencionó en su pregunta, las personas tienden a tener múltiples identidades web válidas. Se vuelve muy difícil para un sitio web identificar si múltiples identidades pertenecen a la misma persona.

  • realmente no puedes hacer mucho para evitar que las personas se registren más de una vez con las condiciones que tienes.

  

No hay cuentas o inicios de sesión necesarios para votar, todo lo que necesita para   El suministro es una dirección de correo electrónico válida. No se envían correos electrónicos de verificación.

  • Para evitar entradas múltiples, el registro debe tomar más de un parámetro del usuario, por ejemplo. Número de móvil o puede hacerlos llenar un formulario de registro. estos parámetros deben validarse enviando un SMS o correo electrónico.
  • No recomiendo agregar este nivel de complejidad a un concurso en línea ya que esto dará como resultado un número bajo de registros.
  • Un enfoque de uso común que he visto es que haces que las personas se registren enviando un mensaje de texto y se supone que deben traer el teléfono celular mientras reclaman el premio. Incluso esto puede dar lugar a múltiples registros por parte de un usuario, pero las cosas estarán mucho más bajo control en comparación con los registros en línea
respondido por el Shurmajee 26.02.2013 - 07:42
fuente
2

Este enfoque no detiene las botnets.

Si poseo una botnet de máquinas de 100k, puedo falsificar 100k votos haciendo que cada máquina busque una dirección de respuesta en los archivos de configuración para Outlook y otros programas de correo. Luego, cada máquina envía un voto con la dirección de correo electrónico que encuentra.

Esto es trampa, pero te parece legítimo porque cada voto proviene realmente de una máquina diferente y la dirección de correo electrónico realmente está asociada con el usuario de esa máquina.

    
respondido por el Mike Samuel 26.02.2013 - 08:34
fuente
0

Podría conectar el esfuerzo humano a cada dirección de correo electrónico. Estoy pensando en una variación en una "cuenta", pero no en una que la persona que realiza la votación tenga conocimiento. Como conectar una pregunta de comprensión de lectura para poder enviar un voto.

Haga que los usuarios envíen una pregunta con 4 respuestas posibles, de las cuales solo 1 es correcta. Su voto se registra solo si responde correctamente la pregunta de otra persona. Algo como una revisión por pares. (¿Por supuesto que necesitaría un sistema para evitar que las personas publiquen preguntas para que nadie pueda obtener la respuesta correcta, por lo que tal vez algunas pautas y un desarrollo progresivo del uso de las preguntas enviadas? Por ejemplo, más de una semana, sus votos se dividen por 7 * número de respuestas correctas, pero descartas conjuntos de preguntas / respuestas, que estadísticamente muy poca gente respondió correctamente ...)

Por lo que sé, el análisis semántico realizado por una IA no produce buenos resultados en masa.

Me gusta la red de intercambio de pila con su reputación. Un bot probablemente no ganará reputación. Pero eso es asumir una cuenta, lo que su escenario no permite.

    
respondido por el Rafael Emshoff 26.02.2013 - 12:57
fuente

Lea otras preguntas en las etiquetas