Toplist geknackt

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Toplist geknackt

    Hallo Leute!

    Ich habe mir vor einiger Zeit ein eigenes Toplisten-Skript erstellt, mit dem ich auch eigentlich ganz zufrieden sein kann. Aber:
    Allem Anschein nach haben zwei Seiten herausgefunden, wie sie ihren Rang erhöhen könne, ohne tatsächlich mehr Voter aufzuweisen. Mit anderen Worten: Offensichtlich wird da geschummelt!
    Als Betreiber möchte ich natürlich herausfinden wie sie das gemacht haben, um entsprechende Sicherheitsmaßregeln einzubauen.
    Ich habe es bereits so eingerichtet, dass das Vorting nur per Formulareingabe funktioniert. Darin ist auch ein timecode als hidden field befindlich, der voraussetzt, dass ein Besucher innerhalb von 5min auf den Absenden-Button klicken muss, da sein Vote sonst nicht registriert wird.
    Dazu werden auch alle IPs gespeichert, und erst nach einem Tag wieder gelöscht.

    Um diese Toplist geht es: http://www.ironsport.de/toplist/
    Wie man sich denken kann, sind es die ersten beiden einträge, die mir Schwierigkeiten bereiten.

    Ich hatte eigentlich angenommen, dass ich meine Toplist schon sehr sicher konzipiert hatte. Aber wie kann das alles umgangen werden?
    Ich glaube kaum, dass sich die Beitreiber der beiden betreffenden Seiten täglich mehrere duzende Male vor den PC setzen und ständig im Wechsel einen Vote abgeben und wieder ihre IP ändern, Vote abgeben, wieder IP ändern, Vote abgeben, ...

    arrays sind klasse

  • #2
    Re: Toplist geknackt

    Original geschrieben von Maranello-550
    Ich habe es bereits so eingerichtet, dass das Vorting nur per Formulareingabe funktioniert.
    Aha - und wo ...?
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar


    • #3
      Eine Beispiel-Eingangsseite (für den Eintrag auf Platz 4):
      http://www.ironsport.de/toplist/muscle-corps.htm
      arrays sind klasse

      Kommentar


      • #4
        hast du mal die logfiles analysiert? dort sollte doch zumindest nachvollziehbar sein, was passiert ist ...
        Die Zeit hat ihre Kinder längst gefressen

        Kommentar


        • #5
          Weil die IPs und die dazugehörigen Aktionen (INs, OUTs, Wertung) gespeichert werden, konnte ich mir bereits einen kleinen Überlick aus der DB verschaffen:
          Die betreffenden Seiten werden mehrmals täglich innerhalb einiger Minuten wiederholt aufgerufen und mit der Bestnote bewertet. Jeweils von verschiedenen IPs (anders ginge es ja nicht).
          arrays sind klasse

          Kommentar


          • #6
            ich habs mir jetzt zwar nicht angesehen, aber ich würde dir empfehlen vll nocht irgendwelche anderen werte zum überprüfen mitzunehmen. z.b. die browser-auflösung, browser, etc. ist zwar nicht die sauberste lösung, aber ich wüsste nichts, was besser wäre (ne registrierung ist mE nicht die beste lösung).
            MfG
            aim
            Lies mich jetzt!
            - OT-Tags-Liebhaber und BB-Code-Einrücker -

            Kommentar


            • #7
              das mit dem timestamp als hiddenfeld ist zb nicht sonderlich gut
              ich könnte nun lokal ein formular basteln das an deine URL per POST sendet und dort das hidden field mit beliebig generierten Werten füllen, also zb timecodes die dein system austricksen

              Kommentar


              • #8
                Das mit den timecodes ist nicht so gedacht, dass ein Unix-timestamp über das Formular übergeben und anschließend unter der angegebenen Zeit gespeiert wird.
                Es wird lediglich eine md5-checksumme von der aktuellen zeit erzeugt (aber nur auf die stunde genau), um nach dem absenden erneut erstellt und mit dem übergebenen wert verglichen zu werden. Beim eintragen wird dann ein ganz normaler unix-time-wert genommen.
                arrays sind klasse

                Kommentar


                • #9
                  Weil die IPs und die dazugehörigen Aktionen
                  schau mal auf die UAs ...

                  ich kann mir aber nicht vorstellen, daß jemand für so etwas (relativ) unwichtiges ein bot-netz o.ä. benutzt ... also unverhältnismäßig viel aufwand betreibt ...

                  ums kurz zu machen: wenn du auf die beiden nicht angewiesen bist, kick sie einfach ... hast ja sicher agbs etc., die so etwas bei betrug (oder auch willkürlich, ist ja deine sache) erlauben.

                  oder schreib die an, droh ihnen mit rausschmiß, wenn sie nicht damit aufhören bzw. frag, ob sie dir die lücke verraten ...

                  aber, ich habe gerade etwas bedenkliches (in deiner situation aber eigentlich geniales - na, sagen wir, wenn die wirklich betrügen, gerechtes) entdeckt: http://about-hijacking.org/?check_ur...htm&check=true

                  könnte probleme geben, nicht für dich, für die jeweils verlinkten ... g versprach, die problematik mal in angriff zu nehmen ... bis dahin solltest du das eventuell ändern, den seiten auf deiner liste zu liebe.
                  Die Zeit hat ihre Kinder längst gefressen

                  Kommentar


                  • #10
                    derHund, ich verstehe nicht, was du meinst. In dem angegebenen Link wird als erstes überprüft, ob es einen Redirect gibt. Den gibt es aber bei jeder Seite, wenn man über die Toplist zu denen möchte. Denn immerhin muss ja auch gezählt werden, wieviele Besucher über die Toplist zu der jeweiligen Seite gefunden haben (OUTs).
                    arrays sind klasse

                    Kommentar


                    • #11
                      ob es einen Redirect gibt
                      nein, es wird geprüft, ob per 302er weitergeleitet wird. google ist in der hinsicht schlecht programmiert und kann ziemlichen ärger verursachen ... such mal nach url-hijacking ... oder lies dir doch mal den rest der seite durch ...

                      dort steht auch, wie mans verhindern kann (301er senden, weiterleitende seite per robots.txt sperren, ...) - wenn das leute sehen, die dadurch schonmal probleme hatten, steigen die dir bestimmt aufs dach.
                      Die Zeit hat ihre Kinder längst gefressen

                      Kommentar


                      • #12
                        Das ist natürlich richtig blöd! Ich leite alle seiten über header('Location:...'); weiter, was auch immer einen 302-Redirect bedeutet.
                        Da man so nicht einfach einen 301-Redirect einstellen kann, wäre wohl ein Frameset die beste Alternative. Oder?

                        Aber zurück zum ausgangsthema:
                        Ne Idee? ;-)
                        arrays sind klasse

                        Kommentar


                        • #13
                          Original geschrieben von Maranello-550
                          Da man so nicht einfach einen 301-Redirect einstellen kann
                          Du brauchst doch nur vor dem Location-Header einen 301er erzeugen:
                          PHP-Code:
                          header('HTTP/1.0 301 Moved Permanently'); 
                          I don't believe in rebirth. Actually, I never did in my whole lives.

                          Kommentar


                          • #14
                            Danke, dann wäre dieses Nebenproblem nun auch beseitigt

                            Aber wie kann ich verhindern, dass mit meiner Toplist Schindluder getrieben wird (wobei ich auch gerne wüsste, was ein Schindluder ist)?
                            arrays sind klasse

                            Kommentar


                            • #15
                              Original geschrieben von Maranello-550
                              Aber wie kann ich verhindern, dass mit meiner Toplist Schindluder getrieben wird
                              Dazu musst du erstmal herausfinden, wie es passiert, und definieren, ab wann es der Fall ist.
                              (wobei ich auch gerne wüsste, was ein Schindluder ist)?
                              http://de.wiktionary.org/wiki/Schindluder
                              I don't believe in rebirth. Actually, I never did in my whole lives.

                              Kommentar

                              Lädt...
                              X