Вопрос о безопасности - подделка POST-запросов, накрутка голосваний

Рейтинг: 4Ответов: 6Опубликовано: 15.04.2015

Есть система, которая дает возможность проголосовать - вы нажимаете на кнопку "Поддержать", отправляется запрос на сервер, увеличивается счетчик нажатий. Вопрос заключается в следующем - запрос можно подделать... подскажите как в таких ситуация обычно делают? Я имею в виду в глобальном смысле, то есть не именно для этой системы, а как обеспечить безопасность запросов вообще? Какую хитрость нужно использовать? Что нужно отправлять? Какие токены? Чтобы проверять все это на сервере, не подмена ли это. Спасибо.

php безопасность
Источник: Stack Overflow на русском

Ответы

▲ 6Принят

В общем случае - никак. Запрос от настоящего пользователя ничем не отличается от запроса бота. Поэтому все онлайн голосования поддаются накрутке. Можно отбрасывать множественные голоса с одного клиентского IP, но это не слишком поможет если голосование действительно захотят накрутить.

▲ 2

Существует много способов от этого защититься (и ещё больше - чтобы обойти :)).
Можно заюзать токен - некая последовательность букаф, которые выдаются только на один запрос. Правда в случае подделки запроса не сильно поможет (но от CSRF вполне годен (тоже обходят)).
Для защиты от голосования можно сделать так (сам никогда голосовалки не делал... что странно, кстати):
В таблице голосования делаешь поле с... ID голосовавших, например. При попытке голосовать (пусть с токеном и вообще - это сам юзер хочет обхитрить систему), вытаскивать это поле, проверять наличие там ID текущего юзера и, если он найден, посылать от ворот поворот.

▲ 2

Ответ "в глобальном смысле" уже дали - НИКАК.

Судя по странным ответам, эту простую истину понимают не все. А точнее понимают, но как-то не до конца. В итоге получаются бессмысленные ответы вида "Токены не помогают, но вот как их реализовать...".

Если же говорить о защите голосования, то здесь есть только две стратегии:

  1. Либо вообще никак специально не защищаться, просто ставить куку для удобства уже проголосовавших, а потом по логам отсекать накрутчиков.
  2. Либо вводить уже тяжелую артиллерию типа капчи смс-голосования.

Середины - это важно понимать - не существует. Все эти игру в бирюльки с токенами и IP совсем не затруднят ботоводов, но только затруднят их отлов.

▲ 2

Никак, хотя бы потому, что все методы взламываются очень легко:
1. Фильтр по IP: Заведите бота через TOP - новый запрос, новый IP;
2. Фильтр по токену: Бот просто будет делать два запроса;
3. Капча: Зависит от сложности, простая подбирается на ура, сложная плоха для юзабилити.

Так что вы можете только использовать все три метода в надежде, что накрутчик не обработает их все. Так же в качестве усложнения могу предложить вариант, очень похожий на токены.
При заходе на страницу генерируется сессия, в сессии генерируете уникальный ID (можно просто увеличивать на 1 от предыдущего). При запросе без сессии возвращать, что голос успешно отправлен, но на деле не отправлять его. При запросе с сессией проверять ID, было ли голосование с него, если было, то возвращать ошибку.
Но это лишь легкая маскировка работы с токенами.

▲ 1

Мне на ум приходит гугловская рекапча. По своим логам не раз видел, что она отрубает некоторых "вредных" посетителей.

▲ 1

Самый удобный как вебмастеру, так пользователю способ отличить человека от бота - сделать что-то наподобие скрытого поля в form-е для отправки запроса, заполняемого javascript-ом. Чтобы подделать такой запрос, понадобится полнофункциональный браузер.

К сожалению, боты, способные на эмуляцию джаваскрипта и продвинутое изображение из себя браузера тоже иногда встречаются. От них этот способ не спасет. Как вариант борьбы с такими товарищами можно усилить ограничения по отправке с одного IP-адреса и блокировать прокси, висящие в blacklist-е IP-адреса, соответствие часового пояса IP-адресу, соответствие его IP-адресу, сообщаемому плагинами, соответствие IP-адреса DNS-у... Но даже все это можно обойти. К сожалению, универсальной защиты нет.

Даже CAPTCHA вас полностью не спасет - даже самую сложную капчу сможет расшифровать китаец за четверть цента =)

Другое дело, что если ваш ресурс не особо популярен, то на него, скорее всего, не забредут даже набиватели голосов с ботами, эмулирующими браузер. Так что излишняя паранойя вам тоже ни к чему.