vvzvlad Aug 26 2011 at 07:29

Теория и практика накрутки голосов

4 min

95K

Information Security*

Tutorial

+22

Comments 33

Denai Aug 26 2011 at 08:02

В таких конкурсах можно ещё и конкурентов накрутить чтоб их сняли с конкурса, вообще шик получается.

vvzvlad Aug 26 2011 at 08:04

да, была такая идея. опять же, зависит от администрации, если есть указание — «никого не снимать с конкурса» может получиться неприятно. обеспечить победу конкуренту за свои деньги — это хуже, чем проиграть.

UFO just landed and posted this here

alno Aug 26 2011 at 10:35

То есть пароли у Вас лежали в базе в открытом виде??

vvzvlad Aug 26 2011 at 10:37

при всем уважении, www.google.ru/search?q=hashcat

alno Aug 26 2011 at 10:38

сорри, туплю, не заметил

Andrewus Sep 2 2011 at 16:39

Я обычно блокирую возможность голосовать всем, кто зарегился после начала конкурса…

corbenov Aug 26 2011 at 10:51

непонятно зачем вы тор перезапускали
там можно менять свой ipшник без перезапуска

vvzvlad Aug 26 2011 at 10:55

не получалось. только перезапуск срабатывал. хоть вроде ip и менялся

sublimelion Aug 26 2011 at 16:41

 

s = socket.socket(

 socket.AF_INET, socket.SOCK_STREAM)

s.connect(("localhost", 9051))

s.send('authenticate\r\n')

s.send('signal newnym\r\n')

s.send('QUIT\r\n')

s.close()

получение новой ноды без перезагрузки тора

abarmot Aug 26 2011 at 12:10

Подарю ка вам еще несколько сотен кило-голосов.
Запостите такую картинку в Темин блог на первую страницу:

<img src="konkurs.photonews.ru/work/vote?photo_id=1522">

Раз уж там регистрация на гет-запросы реагирует, маловероятно, что кто-то реферер додумался проверять ;)

vvzvlad Aug 26 2011 at 12:26

кстати да, реферер не проверяется. это уже я в скрипте перестраховался

ch0sen Aug 26 2011 at 14:34

Вот из-за таких «500 голосов за пару минут» конкурсы и закрывают под регистрацию…

vvzvlad Aug 26 2011 at 14:38

думаете, я виноват в закрытии кучи конкурсов?
по теме — пусть закрывают. так хоть более правдиво получается

mrspender Aug 26 2011 at 15:52

Хех, совсем недавно писал небольшой топик на тему защиты от накруток.

Такой тип накрутки фиксируется по открытым tor-портам на голосующих ip. Да, и, забавно, но в большом % tor-серверов обратный hostname вроде tor.supersecure.com…

Больше проблем вызывают тысячи школьников, сидящих в САР-сетях, и делающий то что им укажут за копейки, на вполне валидных браузерах и ip :)

id Aug 26 2011 at 16:46

проблема в том, что факт накрутки доказать в суде невозможно.

RomanL Aug 26 2011 at 16:52

Мы для региональных конкурсов в добавок ко всяким реферерам и кукам рубим по IP — принимаем голоса только от местных провайдеров.

negodnik Aug 26 2011 at 17:46

Парни, а вы как бы не в курсе, что идет еще и пост-анализ голосования. То, что счетчик прибавляется, не значит, что эти голоса не отменят. Ни кто не говорит, что нет систем, выявляющих нестандартное поведение.

negodnik Aug 26 2011 at 17:57

Организатор вправе делать что угодно: снимать голоса или кандидатуру.

Andoryu Aug 26 2011 at 18:51

Давно пришел к выводу, что результат практически ни одного конкурса, за редким исключением, не должен решаться посредством пользовательского голосования, какая бы защита от накруток там ни использовалась. Дело даже не в опасности технических накруток, но когда конкурс превращается в условно честное «кто больше друзей позовет» — это превращается в какой-то фарс. Решать должно исключительно компетентное жюри.

akalend Aug 26 2011 at 22:27

я как-то организовывал голосование с призом (какая-то косметика от спонсора),
тема «лето», девочки, купальники… в общем весело.

тоже защиту прикручивал…
начальство было против капчи и того чтоб голосовали один раз и только залогиненые,
в результате выиграл «мужик с лицом алкоголика, начальство рвало и метало…
вот такая история…

akalend Aug 26 2011 at 22:29

искали по форумам следы флешмоба, но так и не нашли.
пришлось приз выслать «алкоголику»

VDG Aug 26 2011 at 22:38

Напомнило «Хакер и солонка» ))

otov4its Aug 26 2011 at 23:31

Очень интересные методы защиты от накруток можно почерпнуть у компаний занимающихся рекламой вида оплата за клик. Немного интересовался темой, и скажу что алгоритмы проверки там фееричные. Один из примеров. Учитывается время hover-а курсора мыши над ссылкой перед нажатием.

UFO just landed and posted this here

vvzvlad Aug 28 2011 at 03:03

простая капча легко взламывается, а сложная уменьшает количество голосующих

impass Aug 30 2011 at 14:43

Выполнить его можно с помощью хоть wget

Но вот загвоздка — wget не работает с socs5 прокси

Да чтоб вас всех с этим попсовым wget'ом… cURL же! тут и POST запросы, и автосохранение куки, и поддержка SOCKS проксей, и много чего другого полезного

powder96 Sep 3 2011 at 02:54

Использовать cURL для такого пустяка — это как по воробьям из пушки стрелять.

impass Sep 3 2011 at 02:59

А wget — не пушка, водяной пистолетик? Да не создан он, блин, для подобных операций. Его задача — файлы и страницы скачивать. Зато и изобретаете дополнительные костыли. Или отсутствие поддержки POST запросов и SOCKS прокси тоже не такая уж и необходимость? :))

vvzvlad Sep 4 2011 at 12:35

для каких операций? он качает страницу.
пост запросы мне не были нужны, а проблемы с socs5 я решил одним запросом в гугле. вы не поверите — socs5 wget

vvzvlad Sep 3 2011 at 11:32

это курл попсовый. а вгет — рабочий инструмент.

impass Sep 3 2011 at 16:53

спасибо, поржал

«это шуруповёрт — попсовый, а отвёртка — рабочий инструмент»

vvzvlad Sep 4 2011 at 12:34

ну, если вы не понимаете разницы между шуроповертом и отверткой…
чем вас не устраивает вгет? работает? работает. есть по умолчанию абсолютно везде. а вот курла у меня нет.
если понадобится — поставлю. но изучать новый интструмент, просто потому что старый устарел и не «модный» — мне лень.