my.ukrweb.info УКРВЕБ ІТ веблог окремий погляд на ІТ http://my.ukrweb.info/node/124/atom/feed 2008-08-30T01:36:53+03:00 Antitop v0.2 beta http://my.ukrweb.info/node/124 2008-03-14T17:57:34+02:00 2008-08-30T01:36:53+03:00 podarok Голосування в інтернеті - важлива частина і в багатьох випадках - головний фактор формування вебпроектів. Але для коректності - необхідно піклуватись про безпеку, особливо в випадках, коли в голосуваннях приймають участь анонімні користувачі.

Сьогодні в проекті антитоп - вебсайт http://ukrbash.org

]]> Голосування в інтернеті - важлива частина і в багатьох випадках - головний фактор формування вебпроектів. Але для коректності - необхідно піклуватись про безпеку, особливо в випадках, коли в голосуваннях приймають участь анонімні користувачі.

Сьогодні в проекті антитоп - вебсайт http://ukrbash.org

<!--break-->

Меню 8) сторінки [hide]
    1. Disclaimer
    2. Спочатку трошки прелюдії.
    3. "Людія"
    4. Рекомендації
  1. Висновок
    1. PS


ukrbash.org - національний цитатник. Мова буде йти про нього.

Вітання!

Сьогодні позачерговий випуск проекту AntiTop, і пишу я його по причині великої ефективності коду, який був розміщений в інтернеті завдяки мені та моєму партнеру.

Отже, невеликий графік.

ukrbash.org moon



Після спілкування з модератором даного проекту - "на сайт відбувалась ДДОС атака".

Загалом - погоджуся. Хоч і реальною атакою це назвати важко - швидше "дружня атакочка".

Disclaimer

Процедура, обрана для даної події повністю зворотня і робилась після переконання наявності резервної копії. Крім того - в мене є збережені всі дані та статистика "накрутки". Крім того - my.ukrweb.info - постійний читач УкрБашу і даною дією намагається зробити його кращим!



Спочатку трошки прелюдії.

Реалізація голосування - дуже ефективна та важлива частина більшості web2.0 проектів. Вони формуються на основі таких голосувань. Вся їхня структура та суть побудована на голосуваннях та фідбеках. Отже в такому випадку важливим фактором є безпека, бо посягання на голосування можуть повернути проект зовсім в протилежний бік. Скажімо конкурент, для підняття рейтингу свого проекту може завідомо завалити Ваш, опустивши в 0 найцікавіші частини.

На графіку відображено приклад "тупої" накрутки личільників всіх статей з ТОРу. В результаті на арену виходять "нецікаві" низькорейтингові статті, які підсвідомо можуть сформувати в користувачів проекту негативне враження.



Нажаль, на момент публікації статті помилка невиправлена, тому код, який спричиняє таку "бідосю" я опублікую лише після реального "налагодження" роботи.

"Людія"

На протязі 6 годин різноманітні ІР адреси голосували в мінус статті з ТОРу УкрБаша. Нажаль захисту від цього практично не існує, але захист від "дурня" - життєво необхідний, і реалізація цього захисту - за ukrbash.org. Тестування захисту за my.ukrweb.info - завжди допоможемо в цьому.

Рекомендації

  1. Контроль частоти голосувань - обмежити зверху і привязати обмеження до одного ІР
  2. Додати перевірку referrer в момент голосування
  3. Віддачу голоса анонімним користувачем ускладнити додатковим кроком, залежним від випадкових чисел, але мінімально ненавязаним ускладненнями
  4. Реалізувати обробку результатів голосування не одразу, а з невеликою затримкою - скажімо раз в добу, або раз в кілька годин - тоді зміни на вебсайті можна зафіксувати більш чітко і незамітно для користувачів
  5. Ускладнити метод голосування, переробивши його не через GET, а через POST

Висновок

Безпека - це важливо! 

І вивчення сторони взлому - це перший крок до розуміння самої безпеки.



Успіху Вам!

PS

Проект перейшов із стадії альфа в стадію бета.

Для наступних тем сподіваюсь на Ваші пропозиції.



]]>