Опять взлом

[RQ3P]

Здравствуйте Сергей!
Я понимаю,что такое "корпоративная этика",но я хотя бы хотел надеятся ,что на форуме будет наведен элементарный порядок,тем более,что имя "мастера" Вам известно.Не прошло и суток как был опять взломан опрос.Причем я сознательно при организации опроса исключил повторное голосование.Создается впечатление,что некто ,наплевав на авторитет сайта и админа, вытворяет на сайте что душе угодно не смотря ни на какие правила форума. Я прошу Вас удалить повторные голосования в опросе и очень хочется узнать:
1.Кто опять взломал опрос? Этика этикой-но это просто ни в какие ворота не лезет!
2.Кто неоднократно голосовал повторно?(Даже я как организатор этого опроса не могу это сделать!)
3.Можно ли сделать так,чтобы в таких вопросах взлом был бы исключен?Согласитесь-это может сделать модератор-не меньше.Они что не управляемы и для них правила не писаны?

Мне не нужны "туфтовые" голосования- но видно честность выбора не дает кое-кому покоя.

[RA4HRA]

Взлома не было. Была накрутка счетчика теми, кто об этом знал. И накручивали и уды и неуды. (см. 1-й скриншот в опросе).
Администрация - здесь непричем. Это "особенность" движка форума, да и веб-технологий в целом.

Каюсь, по 10-ку голосований накрутил сам, пока разбирался в чем причина расхождения списка проголосовавших и количества голосов и делал примерчик.

Такая проблема быстро не решаема - остается только продолжать опрос, ориентируясь на список проголосовавших.

И хватит искать врагов.

[POWER]

Каюсь, по 10-ку голосований накрутил сам, пока разбирался в чем причина расхождения списка проголосовавших и количества голосов и делал примерчик.

Алексей неужели нужно десять раз пробовать для опытного пользователя?Вот потом от туда и берутся вопросы на которые вы всегда знаете все ответы!73!

[RX1AL]

Начнем с того, что написать нормальный скрипт для голосования на PHP дело получаса или часа. Кроме того готовых в инете пруд пруди. Далее, не знаю уж кому в голову пришло (вероятно уровень веб-дизайнера на низком уровне) на форуме иметь возможность передачи параметров в скрипт через прямые URL... Это ж прямая возможность ломать, как хочешь и делать, как хочешь. По уму, убираются нафиг все куки (они далеко не уникальны, а в случае их отключения вообще скрипт не работает), а прикрепляется (скрытым параметром) либо сессия пользователя, либо его GUID и напрочь запрещаются анонимы. Адрес IP тоже не является уникальным, есть куча способов... например сесть за NAT провайдера с DHCP... И все.

ПС Скрипт надо? Готовые есть... в наличие...

[RA4HRA]

Алексей неужели нужно десять раз пробовать для опытного пользователя?Вот потом от туда и берутся вопросы на которые вы всегда знаете все ответы!73!

Увы, я не опытный пользователь. Я программист. А при отладке всегда пробуешь и не раз. Сначала на тестовой страничке, потом из своей программки. Я же сразу написал где туфта, а где объективные данные. Какие тогда претензии?

Добавлено через 3 минуты

на форуме иметь возможность передачи параметров в скрипт через прямые URL... Это ж прямая возможность ломать, как хочешь и делать, как хочешь. По уму, убираются нафиг все куки (они далеко не уникальны, а в случае их отключения вообще скрипт не работает), а прикрепляется (скрытым параметром) либо сессия пользователя, либо его GUID и напрочь запрещаются анонимы. Адрес IP тоже не является уникальным, есть куча способов... например сесть за NAT провайдера с DHCP... И все.

Ну, положим, там не открытый URL, а POST-запрос. Все остальное верно на все 100%. Обойти проверку по IP - было бы желание. Решение одно - голосовать только зарегистрированным. При этом проверять регистрации-клоны вручную.

[RK3FW]

Голосовал еще в первом опросе, на работе. Пришел домой - только итоги, проголосовать повторно не могу, хотя куки остались на работе. Выходит, дело не только в кукисах. IP тоже разные. Значит, дело не только в адресе.

[RX1AL]

RA4HRA:
А Post или Get при HTTP Request/Responce разве не возвращает нам значение URL, когда данные фетчит?

И клоны проверять не вручную, а посылкой мейла или генерацией части сертификата. Нормальная двух-сторонняя сыстема аутентификации пользователя. Зачем велосипед изобретать?

RK3FW:
Дело еще в логине... Скрипт учитывает учетную запись...

[POWER]

Увы, я не опытный пользователь.

=========================================

Ну, положим, там не открытый URL, а POST-запрос. Все остальное верно на все 100%.

Ну блин Алексей вы же не опытный а знаете что это такое(открытый URL, а POST-запрос),я например не знаю,лукавим однако!

[RA4HRA]

RA4HRA:
А Post или Get при HTTP Request/Responce разве не возвращает нам значение URL, когда данные фетчит?

И клоны проверять не вручную, а посылкой мейла или генерацией части сертификата. Нормальная двух-сторонняя сыстема аутентификации пользователя. Зачем велосипед изобретать?

RK3FW:
Дело еще в логине... Скрипт учитывает учетную запись...
__________________
73! Михаил - Ex: UV1AL, сейчас OE6MAF, HB9/OE6MAF, DL/OE6MAF

Михаил, возвращает, но не в строке URL. Механизм несколько другой.

Клоны автоматом проверить нельзя - не за что зацепиться. Любой может Alex88888 (извините, если с кем совпало - случайность) и т.п. ников наплодить и с них голосовать. Ящик на бесплатном мылере тоже не проблема. Остается IP - но на него есть прокси.

Ну что я, блин, ликбезом занимаюсь. Не цепляйтесь, если сами все понимаете.

Голосовал еще в первом опросе, на работе. Пришел домой - только итоги, проголосовать повторно не могу, хотя куки остались на работе. Выходит, дело не только в кукисах. IP тоже разные. Значит, дело не только в адресе.

Михаил вам ответил. Дело именно в логине. Сделайте логофф, удалите куки - и скрипт даст проголосовать.

Добавлено через 1 минуту

Ну блин Алексей вы же не опытный а знаете что это такое(открытый URL, а POST-запрос),я например не знаю,лукавим однако!

Где это я лукавил? Я же честно написал, что не пользователь, а программист. Куда жать - это я могу и запутаться. Но RFC 2068 приходится использовать по долгу службы

[UA9OF]

А я еще вчера говорил, что всегда найдутся ребята которые наликвидируют так, что неделю разбираться придется.

Каюсь, по 10-ку голосований накрутил сам

Алексей , Вашу цитату привожу без злобы, просто для примера. На сайте СРР тоже дырки есть.

[RA4HRA]

Алексей , Вашу цитату привожу без злобы, просто для примера. На сайте СРР тоже дырки есть.

Дырки есть везде. Поэтому надо отдавать себе отчет в показательности таких голосований.
А цитата - я же в обе стороны накручивал
(Щас кто-нибудь заметит, что в неуде я exception не перехватываю и окошечко с сообщением о redirect'е в неуде выскакивает) А я просто забыл.

[RX1AL]

RA4HRA:
Да не цепляюсь я, не цепляюсь... Просто на сегодняшний день на сайте 11 хорошо известных в PHP дырок... Входи и делай что хочешь... И админы сайта не хотят палец о палец ударить, чтобы их прикрыть. А делов там на два час, не более, чтоб все заплатки установить.

[RA4HRA]

Да не цепляюсь я, не цепляюсь... Просто на сегодняшний день на сайте 11 хорошо известных в PHP дырок... Входи и делай что хочешь... И админы сайта не хотят палец о палец ударить, чтобы их прикрыть. А делов там на два час, не более, чтоб все заплатки установить.

Ну трудоемкость оценивать не берусь. А дырок в таких скриптах всегда хватает .

[RX1AL]

(Щас кто-нибудь заметит, что в неуде я exception не перехватываю и окошечко с сообщением о redirect'е в неуде выскакивает) А я просто забыл.

Уже заметили... но ничего не скажем или не разъясним, чего с этим редиректом "полезного" еще можно сделать...

[UA9KZ]

Мне не нужны "туфтовые" голосования- но видно честность выбора не дает кое-кому покоя.

Петр, Вы все это от души или попиариться.