Názory k článku Hlasovací systémy na Internetu

Hlasovaci systemy maji daleko vic problemu, nez autor uvadi.Pokud budu chtit podvadet, nepotrebuju instalovat 10^3 prohlizecunebo rucne mazat cookies. Staci pouzit vhodny program,ktery umi nastavovat hlavicku User-Agent podle prani uzivatele- napriklad wget toto umi uspokojive.Cookies pak muzu mazat nejakym vhodnym programem pro mazanisouboru, treba "rm" :-)Bohuzel nejde rozumne omezovat na IP adresu vzhledem k ruznymtransparentnim i netransparentnim proxy cache serverum.Naopak jeden klient nemusi znamenat jednu IP adresu - naprikladna TEN v Brne je cluster sesti nebo kolika cache serveru[1].Castecne by slo vyuzit hlavicek X-Forwarded-For, aletohle lze taky zfalsovat, nehlede k tomu, ze nektere HTTP proxyservery tuto hlavicku neposilaji vubec.

Podle me zadne anonymni hlasovani na Internetunejde udelat tak, aby bylo nezmanipulovatelne. BTW, koliklidi tak hlasuje v Miss Internet (kolik hlasu staci kezmanipulovani?). Myslim si, ze ma cenu se ucastnit pouze neprilis vaznychhlasovani.

<META>Lupa by mela mit tlacitko "preview comment"</META>

-Yenya

[1] za predpokladu, ze nejsou jednotlive cache servery v clusterupouzivany nejak deterministicky, ale treba metodou round-robin. Cozbohuzel nevim.

Jak je v clanku napsano, sebelepsi system nema proti profesionalum mnoho sanci, pokud ti na to venuji dost casu a energie. Ovsem podle mych zkusenosti plati, ze drtiva vetsina podvodu jsou zoufale amaterske. System popsany v zaveru dela to nejlepsi mozne - hleda jakoukoliv pravidelnost v hlasech (na zaklade dostupnych udaju o hlasujicim), ktera je statisticky anomalni, a takove hlasy odmita (zalezi na tvrdosti systemu, co povazuje za natolik anomalni, aby usoudil, ze uz to neni pouha shoda nahod, ale podvod).
Podle meho nazoru kombinace s emailovym zasilanim potvrzeni natolik ztezuje podvody, ze uz se proste nevyplati - to neznamena, ze by to neslo!
Mimochodem, minimalne Miss Internet ma jistou ochranu proti pouzivani anonymnich proxy zabudovanou, dokonce uz minimalne jeden takovy utok byl veden. Netvrdim, ze tato ochrana nejde prekonat, ale je to opet prace.
Nezapominejte take, ze mnohem slozitejsi je prorazit system, o kterem neni jasne, jak pracuje, nez ten, u ktereho vite, jak presne funguje. Beta verze popsaneho systemu byla jistou dobu testovana pomerne zkusenymi uzivateli (ti neznali funkci algoritmu) a byla prolomena pouze jednou (dira byla samozrejme opravena :-).

Asi lupa nema o cem psat, a tak pise o blbostech. kdysi to byl web kde se dalo chodit, dnes ubohost sama. Taky podle toho vypada navstevnost. No sem bych si uz reklamu nedal.

Clanek povazuji za prinosny. Je jasne, ze cokoliv se da hacknout, otazkou je, co to stoji. Jasne, ze si na linuxu muzu napsat skript, ktery bude hlasovat, zakladat emaily, atd... Ale cim propracovanejsi hlasovaci system, tim slozitejsi musi byt muj skript. Musi zakladat emailove ucty po celem svete, menit anonymni proxy, vyuzivat ruzne SMTP servery, atd... Autor netvrdi, ze jeho algoritmus ne neprustrelny. V clanku slo o zobrazeni principu. Hledat v datech anomalie, ktere ukazuji na podezrele hlasovani.

Predevsim dekuji Yenovi, ktery mi promluvil z duse...prispevek velmi podobneho razeni jsem zacal psat vcera, bohuzel jine pracovni povinnosti mne donutili prerusit a posleze nedokoncit tuto praci. Dneska by to bylo jiz noseni drivi do lesa.

Chci se vsak zamerit na trochu jinou vec a sice, ze neni treba zadne profesionalni znalosti ani umet programovat...

O co jde...:

1. Omezovat dle IP je totalni kravina, valna vetsina firem pouziva neco na zpusob maskarady (at uz na Windows - WinRoute ci WinProxy nebo na UNIXech), dalsi problem jsou transparentni nebo explicitni proxy cache, nehlede k tomu, ze jsou i mensi provideri (sam o par vim), kteri maji 1 verejnou IP adresu a maskaraduji veskery modemovy i leased line provoz.
2. Dle hlavicky HTTP_USER_AGENT je taktez uplna kravina, protoze jednak si ji mohu definovat sam, jednak i tech verzi prohlizecu je dost - vezmu-li napr. jen Netscape, mame hned desitky hlasu.
3. Dle e-mailu je take blbost, protoze hodne firem nema spec. mailboxy pro kazdeho uzivatele, ale tzv. domenovy kos a postu rozhazuje az SW zpravidla za firewallem ve firme => nekonecne mnoho mailu vzdy korektne dojde.
4. Zpetna autorizace napr. nejakym kodem je sice hezka, pokud budu profik, udelam to automatizovane, pokud budu laik, je toto JEDINNA investice, kterou je nutno udelat ruco.

Suma sumarum, ackoli je problemu vice (Yena nepochybne vi o cem mluvi, a ja ostatne taky), staci laikovi par sikovnych a bezne dostupnych programu, ktere veskerou praci spolehlive delaji za nej, zadne skripty, zadne programovani, jen ciste uzivatelsky pristup.

A na zaver pro LUPU - ten preview s moznosti editace by vazne bodl, podivat se na prospevek a vedet, ze je neco v haji mne urcite neuspokojuje.

Díky za tip, s preview počítáme a bude. Ostatně ta Yenova poznámka byla prodchnuta jemným humorem nechtěného, protože se přímo v tom příspěvku uklepl v jednom tagu, takže část slov vypadla a zbytek byl začervenalý jako odkaz. Ačkoliv to běžně neděláme, přesněji řečeno jsme to dosud neudělali nikdy a nemáme pro to ani žádný standardně použitelný nástroj, tentokrát to kolega Michal Jursa opravil přímo v databázi.

To jen pro zasmání. :-)

No, ja jsem si toho taky samozrejme vsiml az po odeslani. :-) Kdysi davno jsem dokonce videl thread na Lupe, kdy kolega zapomnel </EM> a vsechno bylo kurzivou. No a o par prispevku dal pak odpovidal, pricemz na zacatku sveho prispevku napsal </EM> a dalsi prispevky uz byly normalne.

-Yenya

... a jestli neumreli, bezi jim jadro 1.0.9 dodnes.

Jeste jedna vec k TAGovani... - je to zamer nebo nahoda, ze jiste tagy jsou naopak vyfiltrovany - nedavno jsem v jednom prispevku pouzil <IRONIE>...</IRONIE> a tyto TAGy nakonec nebyly zobrazeny, takze prispevek (slo o ty hesla) vyznel trosku jinak nez bylo zamysleno... IMHO chyba na strane browseru neni, neb ten ma zobrazovat tagy, kterym nerozumi cele...

To přeci není pravda - když browser nepozná tag, tak ho ignoruje, ale rozhodně ho nemá zobrazovat! Na tom jsou postavené všechny nestandardní věci JavaScriptem počínaje a nevím čím konče.

Správný postup by bylo psát speciální entity (takové ty shluky znaků s amprsandem).

Zdravim,

ono je to s tema TAGama jeste trosku jinak, nedalo mi to a podival jsem se do HTML kodu a co nevidim...:

kdyz dam <IRONIE>...</IRONIE>, pak se TAG v NS (4.72) zobrazi, ale kdyz to napisu takto: <ironie>...</ironie>, pak to NS nezobrazi... - HTML TAGy nikdy nemely byt case-sensitive, ale koukam, ze renderery na to asi kaslou...

Osobne povazuji clanek taktez za velice prinosny, ale chybi mi v nem jedna vec - zamyslel se nekdo nad tim, jak bude reagovat na ankety potvrzovane via mail prosty uzivatel internetu, ktery sedi nekde v kavarne a ma ucet na freemailu bez moznosti POP/IMAP?

soulasim s yenyou!

kazdej, kdo umi napsat kratkej program (skript), muze zfalsovat, co chce!

a kdyz to pak pusti na noc, tak se nekdo bude dost divit! problem IP adresy - na netu jsou tisice anonymnich proxy - staci najit seznam (docela snadno) a je to - videl jsem program, co takhle zlepsoval click ratio na billboard.cz

takze amateri - instalujte deset browseru, profici (nebo pouceni lameri) - naklikejte co se da, kde se da :)