nicht angemeldet
Abstimmungsscript / eMail prüfen
Hallo,
suche ein wirklich brauchbares Abstimmungsscript - habe da schon so einiges ausprobiert und hätte jetzt gerne mal Euren Rat - hat jemand Erfahrung mit einem möglichst sicheren Script? Ich weiss, Sicherheit ist relativ ..
Nur so ne Idee:
Habe mir gedacht ich mach das über eMail-Adressen, d.h. der User muss zur abstimmung seinen eMail-Adresse angeben, die wird dann auf Gültigkeit geprüft und so wird die Stimme gewertet. Natürlich zusätzlich noch ein Session-PHP-Cookie und ein Browser-Cookie.
Gibts ne Möglichkeit eMail-Adressen auf reale Gültigkeit zu checken - so dass ich eine Datenbank auf wirklich gültige Adresse prüfen kann? Kann mann da irgend eine Anfrage an den Hoster der Adresse senden? Z.B. das mann die Adresse test@xyz.com so überprüft, dass man eine Anfrage an www.xyz.com senden und ein true erhält ???!!!???
Danke für Eure Tipps,
Niko
-
Moin!
Habe mir gedacht ich mach das über eMail-Adressen, d.h. der User muss zur abstimmung seinen eMail-Adresse angeben, die wird dann auf Gültigkeit geprüft und so wird die Stimme gewertet. Natürlich zusätzlich noch ein Session-PHP-Cookie und ein Browser-Cookie.
Was ist der Unterschied zwischen dem ersten Cookie und dem zweiten Cookie? Und was machst du, wenn Cookies abgelehnt werden?
Gibts ne Möglichkeit eMail-Adressen auf reale Gültigkeit zu checken - so dass ich eine Datenbank auf wirklich gültige Adresse prüfen kann? Kann mann da irgend eine Anfrage an den Hoster der Adresse senden? Z.B. das mann die Adresse test@xyz.com so überprüft, dass man eine Anfrage an www.xyz.com senden und ein true erhält ???!!!???
Es gibt keine Möglichkeit. Und das ist auch gut so. Stell dir bloß mal vor, Spammer würden beliebige EMail-Adressen generieren und würden deren Existenz noch gleich am Server nachprüfen können.
Bislang funktioniert bei deinem System eigentlich gar nichts, was zum Thema Sicherheit relevant sein könnte: Du kannst nicht prüfen, ob die eingegebene EMail-Adresse existiert, du kannst nicht mal prüfen, ob der, der die Adresse eingibt, überhaupt seine eigene Adresse eingibt, und du kannst nicht verhindern, dass derjenige immer und immer wieder abstimmt, weil deine einzige Methode, das zu verhindern, ein Cookie ist, was man ablehnen kann.
Du hast nur eine Chance: Wenn du eine registrierte Usergruppe hast, dann kannst du, weil sich die User anmelden und authentifizieren müssen, jedem Useraccount erlauben, genau einmal abzustimmen. Aber auch dabei kannst du nicht verhindern, dass irgendein Witzbold zwei oder mehr Accounts anlegt - er kann sich ja grundsätzlich beliebig viele EMail-Accounts anlegen, und sich damit mehrfach anmelden. Das kriegst du nichtmal dann eindeutig in den Griff, wenn du die Passworte der Anmeldung den Usern per Papier-Post zuschickst (dann müßte der User ja seine Postadresse angeben, und auch wenn man gewöhnlicherweise davon eher nur eine Adresse hat, ist es dennoch möglich, noch irgendwie eine zweite und dritte Adresse herzukriegen, auf der Arbeitsstelle, bei den Eltern und der Oma, irgendwelche toten Briefkästen, Freunde etc...)
Mit anderen Worten: Du kannst den Aufwand, der dir aber substanziell nichts bringt, immens hoch machen. Oder du kannst es einfach lassen. Die simple Methode, einfach zu versuchen, ein Cookie zu setzen, dürfte meist reichen. Damit fängst du einigermaßen sicher einen großteil der Doof-User ab, und das sollte reichen.
- Sven Rautenberg
--
"Bei einer Geschichte gibt es immer vier Seiten: Deine Seite, ihre Seite, die Wahrheit und das, was wirklich passiert ist." (Rousseau)