Múltiples tipos de seguimiento

Navega tus respuestas
1

En un sistema donde tengo revisiones de productos, para evitar revisiones falsas, he pensado en hacer lo siguiente:

  1. Limite una revisión para cada cuenta - > Para omitir esta medida, el usuario podría crear varias cuentas.
  2. Limite una huella digital del navegador para cada producto. Para omitir esta medida, crear una nueva cuenta no funcionará para el usuario malintencionado. Pero, entonces él podría cambiar el navegador para obtener una nueva huella digital.
  3. Limite una IP para la revisión de cada producto. Mi pregunta es sobre este paso. Si limito una IP de cada producto, sé que las empresas o escuelas tienen la misma IP estática para una gran audiencia, pero el problema no es eso. Mi problema es sobre las IPs dinámicas. Si un usuario legítimo recibe una IP previamente registrada de otro usuario, entonces no puede crear una nueva revisión. Entonces, ¿debería usar solo los dos primeros pasos? ¿Cuáles son las probabilidades reales de que dos personas, miembros de esta aplicación, quieran escribir una reseña sobre el mismo producto, recibir la misma IP? ¿Es esto simplemente paranoico, o podría ser un escenario real? Bueno, el usuario malintencionado podría obtener una nueva IP fácilmente, por lo que este paso es realmente fácil de omitir.
  4. No estoy interesado en cosas como evercookie.
  5. ¿Hay otra forma de seguimiento?
pregunta user2990084 21.08.2015 - 01:48
fuente

3 respuestas

1

En mi opinión, la limitación por IP es demasiado estricta:

  • Como dijiste, hay un problema con la IP dinámica. Pero esto solo podría resolverse si se aplica este límite solo dentro de un marco de tiempo específico porque la IP no cambia tan a menudo.
  • Pero las corporaciones e instituciones a menudo usan direcciones IP privadas dentro y tienen pocas puertas de enlace de Internet. Esto significa que todos los usuarios tienen la misma IP saliente.
  • Y luego DS-Lite y métodos de acceso similares. Aquí los usuarios obtienen solo una dirección IPv4 privada y comparten la misma dirección pública IPv4 porque no hay suficientes direcciones IPv4 públicas para todos. Sin embargo, generalmente tienen una dirección IPv6 única. Este tipo de acceso afecta probablemente a la mayoría de las redes móviles, gran parte de Asia, pero también a algunos ISP en Europa o América.

Creo que la mejor manera es limitar las revisiones por cuenta y luego dificultar la creación de la cuenta, es decir, usar captchas, etc. También se está investigando para detectar una cuenta falsa, de modo que pueda cerrar cuentas más tarde y eliminar las revisiones, vea por ejemplo Ayudando a la detección de cuentas falsas en servicios sociales en línea a gran escala de la reciente conferencia de USENIX.

Por supuesto, todo lo que haga para limitar el abuso podría hacerlo más complejo y podría disuadir a algunos usuarios benignos de usar su sistema. Pero si hay demasiado abuso, su sistema también es inútil para ellos. Probablemente sea muy difícil lograr el equilibrio correcto y, si observa las redes sociales, los correos electrónicos gratuitos, etc., cambian constantemente sus procedimientos para facilitar que los usuarios benignos utilicen el sistema, pero los spammers no pueden utilizarlo. Como los spammers también evolucionan en sus técnicas, probablemente debas ajustar tu sistema regularmente. O puede intentar beneficiarse de las validaciones que Google, etc. haga con sus cuentas y, en lugar de realizar toda la creación y validación de la cuenta por su cuenta, deje que el usuario inicie sesión con sus cuentas de Google o Facebook.

    
respondido por el Steffen Ullrich 21.08.2015 - 07:36
fuente
0

¿Por qué no usar la autenticación de dos pasos? Cualquier usuario que realice una revisión debe obtener un código de autorización en su número de celular. Después de proporcionar ese código en el navegador, él / ella podría realizar la revisión del producto.

Debe haber un límite en el número de celda: un usuario con un número de celda específico puede revisar por una vez.

    
respondido por el mak93129 21.08.2015 - 17:36
fuente
0

Análisis técnico de los mecanismos de identificación de clientes de Google detalla muchas heurísticas a nivel de navegador y red para los navegadores / usuarios de huellas dactilares: 

1.1 HTTP cookies
1.2 Flash LSOs
1.3 Silverlight Isolated Storage
1.4 HTML5 client-side storage mechanisms
1.5 Cached objects
1.6 Cache metadata: ETag and Last-Modified
1.7 HTML5 AppCache
1.8 Flash resource cache
1.9 SDCH dictionaries
1.10 Other script-accessible storage mechanisms
1.11 Lower-level protocol identifiers

Puede encontrar una implementación de ejemplo sobre estas técnicas y algunas más en BrowserLeaks .

    
respondido por el Dr. mattle 21.09.2015 - 00:36
fuente

Lea otras preguntas en las etiquetas

Características de seguridad a través del estándar ISO 25023 Configuración de red para el laboratorio de análisis de malware en una vista corporativa