Fick ett litet problem idag på topgamesites.net. En sida fick på ett par timmar 400 röster men det påverkade inte min räknare något alls. Alltså misstänks sidan för att fuska och efter letande i logg filen så tar jag det för givet. Alla normala röster kommer från deras inloggningssida och det ser rätt ut. Men det kommer även röster från en blank sida med endast en länk till min lista.

ferion.com /portal/news.php?code=blaat

Alla röster som kommer därifrån har exakt samma useragent, och inte vilken som hellst :D
210.15.227.8 - - [05/Jun/2005:19:39:07 +0200] "GET /mmorpg__mpog HTTP/1.1" 200 1840 "[samma url som ovan]" "$USER_AGENT"

Detta ip återkommer om och om igen på 2 rader i loggen. Den ena är GET och den andra är POST. Självklart fusk och mitt script kommer endast ihåg den som röstade senast på en sida vilket gör att 2ip räcker. Detta ska jag dock ändra för att dra ner möjligheterna.

Det är flera ipn som kommer från den nämda sidan och alla återkommer om och om i loggen med jämna mellanrum. Så nu undrar jag om ni har något smart sätt att bli immun mot bottar. Hela mitt script bygger på att det är en referrer för annars kan man inte vota alls så det tar bort möjligheten från en del proxys då de tar bort referrern (tror jag).

Lite hjälp tack :D

Tillåt bara en röst per IP-adress per dygn.

Jo visst men finns det stoppar ändå inte allt :) Kan man inte göra något som inte en bot klarar av. Kan ju alltid lägga in en text på en bild som man ska skriva ner. Tror iof inte det är så uppskattat

Om du kör nån javascript-check så kanske du får bort ännu fler. Men du lär ju slippa 99% av alla försök om du sätter en limit på max 1 röst per IP-adress och per dygn.

Det finns även ett gäng X-flaggor som sätts i headern av vissa proxies.. kan vara värt att kolla på.

Man skulle kunna göra en lista på alla votes som går igenom och prova ansluta på vanliga portar som proxys använder för att kontrollera om det är en proxy med. Har dock ingen aning om hur man gör det i php ;)

Tack för tipset grazzy

Om alla hade samma useragent, varför inte bara spärra den?

För att det förmodligen bara är en bugg. Vem sätter "$USER_AGENT" som UserAgent för en sådan bot? Så det hade bara löst problemet tillfälligt och det hade dessutom inte stoppat andra fall.

Vidarutveckla kullervos ide med javascript.

Ta bort Submit knappen. Ersätt den med en länk: Rösta

Många botar klarar inte av javascript och som kullervo säger, det lär ta bort 99% utav fallen. Vill du ha bort den sista % också så får du lägga till bild verifiering.

Låter jobbigt för alla som måste använda proxy för att komma åt hemsidan.

(Exempelvis alla Ericssonanställda).

/Zoran

Vad sägs om att när rösten skickas:

1. Kolla om kakan HAS_VOTED är satt
a. Om inte:
1a. Sätt kaka HAS_VOTED till 1
2a. Kolla om kakan HAS_VOTED är satt till 1
x. Om inte: Kasta rösten (kakor kan inte sättas).
y. Om ja: Räkna rösten (kakor kan sättas och den var 0)

b. Om ja:
1b. Kasta rösten (kakan var redan satt)


Visst går det att ha en bot som sätter kakan för att kunna rösta och sen tar bort den, men jag kan knappast tänka mig att någon gått genom hela besväret bara för att lyckas fuska. Tror snarare att det blir så att bottar inte klarar att sätta kakor alls.

/Zoran

Jag tänkte snarare att man ska räkna fram en checksumma på något som ändras hela tiden. Sedan skitar man ner Javascriptet så hårt att det blir oläsligt och svårt att se hur algoritmen ser ut.

Edit: De där med proxy som grazzy och FredrikMH skrev lät väldigt lovande.

Men om botten inte hanterar kakor ;)

Egentligen bara till o skita i o regga röstningen isåfall..
Men då drabbas ju alla dom som inte röstat

Att använda JS script är nog enklast

I PHP (säkert andra språk också) så blir det jobbigt.

Eftersom efter du har kört setcookie() så måste du ladda om sidan för att PHP skall kännas vid den.
Det blir 2st omladdningar varav stortsett en onödig. När det går att göra på fler och bättre sätt.

Med cookies kan man fuska. Det är bara att radera cookien så har man automatiskt rösträtt igen.

Cookie + IP kommer du långt med (dvs, om det är samma ip men olika cookies så är det "Ok"). Sen kan du även lägga till tex så att på sidan finns det ett javascript som utför en operation, tex lägger ihop två värden med javascript som den sedan submittar och så jämför du resultatet på serversidan. Det är enkelt att göra om du har tillgång till din algoritm. Men det blir jobbigt för en hacker att skriva kod för att anpassa sin bot till det om du använder lite scramble av javascriptskoden och skriver lite klurigt.

Vill du vara helt säker får du ju ta till saker som att folk skall kolla vad det står i en bild osv, men då börjar man kanske tappa lite väl mycket användbarhet.

Nja, jobbigt o jobbigt. Det du kan göra är att göra en omladdning av en sida som inte ens innehåller något annat än headrar. Då är det inte direkt så jobbigt.

Och visst är det bara att ta bort kakan och rösta igen. Men hur troligt är det att botten är programmerad att ta emot en kaka, när servern frågar om kakan returnera den, och sen radera den?

Min gissning är att bottar oftast är ganska "dummprogramerade" och knappast innehåller stöd för kakor överhuvudtaget. Vem orkar hacka en bott för röstfusk?

/Zoran

Varför ens koda in cookie stöd i en bot? :P

Oftast kolla man ifall kakan finns eller inte... Finns den inte, så genomförs röstningen...

#EDIT Stavfel..

Eller så gör man först ett cookitest som kollar om klienten klarar av cookies. Gör den inte det så godtas inte rösten.

Vilket jag skrev redan utförligt i tråden :)

/Zoran

Men ändå, låter som ett dumt förslag ändå att köra med cookies.

Jag vet ett antal personer som stängt av cookies i sina webläsare utav ren skär säkerhet.

Ja och? Säkerhet? Det är bara att skriva en disklejmer där det står "För att kunna rösta måste du ha kakor påslagna".

Folks paranoia kan man inte rå för.

/Zoran

Visst klarar antaligen inte bottar av kakor... Problemet ligger nu i att användarnas webbläsare klarar av det och att förlita sig på kakor tänker jag inte göra så det kommer göra system mer osäkert än det redan är idag. Däremot är javascript nog en ultimat lösning. Hur kan jag göra javascriptet oläsligt vid "Visa källa"?

Varför vill man lägga ner besväret av att fuska på en topplista?
1. För att boten förmodligen kommer fungera på andra topplistor också då alla bygger på i princip samma teknik. Klarar man att fuska på den som är mest bevakad så klarar man dem andra också...
2. För att få 2000 besökare per dag från en lista så skulle nog tiden betala av sig i slutändan.


Sen angående proxys så skickar de flesta inte med Referer-headern ändå så då fungerar inte mitt script ändå och de kommer direkt in i listan. Detta endast för SEO. Mitt sript bygger på att alla i en kategori länkar till mindomain.com/kategori. Scriptet kontrollerar om Referern tillhör någon medlem. Om så är fallet så laddas votingscriptet istället för själva listan. En topplista har massor av in-länkar så med tiden hoppas jag att systemet jag använder är bättre än tekniken som de flesta använder vote.php?siteid=xxx.

Tror du verkligen att det fungerar? Din browser MÅSTE kunna se HTML-koden för att rendera sidan rätt. Sen är det bara att använda lynx eller liknande för att dumpa html-koden till disk.

Tror du verkligen på det? Vad händer om jag stänger av javascript? Vad händer om jag laddar ner sidan? Vi gör ett test, skapa en sida och "skydda den" så att jag inte ska kunna se koden. Sen kan jag klistra in koden här i forumet.

/Zoran

Fungerar också enbart med IE.
Firefox klarar av att visa koden utmärkt :)