phpbar.de logo

Mailinglisten-Archive
[php] Voting-Konzept

[php] Voting-Konzept

I.Garbe php_(at)_phpcenter.de
Sun, 16 Jun 2002 13:05:53 +0200 

Enrico Weigelt wrote:

>>Um die Energie der Leute zu bezeichnen ein kurzes Beispiel:
>>- nur wer Cookies akzeptiert, darf voten ...
>>
Hmm, und wie stellt man das fest??
Da gabs doch schon einen Haufen an Diskussionen, und entweder ich hab 
ned aufgepasst oder es gibt keine richitg sinnvolle Lösung, ohne externe 
Hilfen wie JavaScript, das nachzuprüfen... und das kannst du ausschalten.

Aber was ich sehr wichtig an einer schummelsicheren Abstimmung finde, 
ist, dass der Besucher nichts von einer Sperre mitbekommt...
Nehmen wir mal an, ein User stimmt ab und bekommt dann das Ergebnis zu 
sehen, aber nur ein prozentuales Ergebnis, ohne die Anzahl der Leute, 
die abgestimmt haben. Und er kann sooft er will, neu abstimmen. Er 
bekommt gar nicht mit, dass seine Stimme nur ein Mal gezählt wurde (es 
sei denn, an der Umfrage haben nur ganz wenige Leute teilgenommen, so 
dass sich die prozentwerte schlagartig ändern), und meint, er kann die 
Umfrage manipulieren, indem er das Formular mit der Umfrage wieder und 
wieder abschickt (oder ein Skript dafür schreibt).
Anderes Szenario:
Eine Umfrage, gut gesichert, lässt nur eine Abstimmung zu und bringt 
danach eine Fehlermeldung: Du hast schon abgestimmt.
Ich kann mir gut vorstellen, dass es einige Leute gibt, die einfach nur 
spasshalber nachhaken wollen: Wie intelligent war der Coder des 
Skriptes, was für Sicherheitsvorkehrungen hat er drin? Und er überprüft: 
Was passiert, wenn ich JS aus habe, was passiert, wenn ich keine Cookies 
akzeptiere... etc.
Und wenn er die Schwachstelle gefunden hat, bastelt er sich ein Skript 
und zeigt dem Coder, wie toll er ist, die Umfrage ist dann eher 
nebensächlich geworden.

So denke ich, kommt es häufig vor, weil wenn ich ne Seite von Kollegen 
besuche und sehe beispielsweise eine Adresse in der Form: 
 index.php?inc=html/main.html
Dann überkommt es mich schon und ich schaue spasshalber, was ich sonst 
so includen kann... ;) Da kommt halt der Spieltrieb wieder hoch *g*... 
bei Umfragen ist das ähnlich, denke ich.

Aber zurück zur Umfrage: Wenn man die Revote-Sperre so unscheinbar 
macht, dass man meint, es gäbe keine, denke ich, dass die Gefahr der 
Manipulation geringer wird, ganz verhindern kann man sie natürlich nicht.

Gruss,
Ithamar Garbe

php::bar PHP Wiki   -   Listenarchive