Evitando assinaturas "duplas"

8

Estou trabalhando em um site que requer um pouco de marketing; deixe-me explicar.

Este site está oferecendo um único vale, digamos, iTunes 50 $ a um sortudo vencedor.

Para participar do sorteio, você precisa convidar (e precisa participar) pelo menos um amigo para o site. Bem direto.

Agora, é claro que seria fácil para qualquer um criar uma conta falsa e convidá-la, então, eu estava pensando em outra maneira de descobrir de alguma maneira uma possível trapaça.

Eu estava pensando em uma verificação de IP no usuário recém-inscrito (convidado) e, se houver o mesmo IP registrado nas últimas 24 horas, e se for esse o caso, investigue mais sobre ele.

Mas eu estava pensando que talvez haja uma maneira mais inteligente de contornar esse problema. Alguém já pensou sobre isso? Que outras soluções você tentou?

Desde já, obrigado.

security john smith
fonte
4
Você poderia explicar que o valor esperado de cada assinatura é de US $ 0,0001, mas suponho que isso estragaria toda a campanha.
ddyer 20/09/12
@ John - Esta questão não pode ser respondida. Não há resposta para essa pergunta, porque para cada solução que você implementa, garanto que consigo pensar em uma maneira de contorná-la. Por exemplo, posso contornar isso usando uma Conexão VPN GRATUITA para me recrutar duas vezes.
Ramhound 21/09/12
igual a qualquer outra solução de programação. Como programadores, sabemos perfeitamente que qualquer sistema, por quanto ele pode ser "seguro", sempre haverá uma maneira de contorná-lo. Então o que? nós não produzimos nada porque qualquer sistema pode ser evitado?
john smith

Respostas:

9

Só funciona se a conta estiver vinculada a algo valioso e verificável que identifique exclusivamente seu proprietário.

Coisas que não funcionam:

Endereços IP

Eles não são únicos (pense em firewalls corporativos, cibercafés, IPs dinâmicos reutilizados em redes móveis, proxies etc.), nem constantes (muitas conexões de Internet têm IPs dinâmicos, especialmente móveis). Uma verificação de IP também é fácil de contornar: hoje em dia, a maioria das pessoas tem pelo menos duas conexões com a Internet (móveis e residenciais, residenciais e profissionais etc.) e, caso contrário, encontrar um serviço de proxy adequado não é '' difícil de todo. Aqueles que ainda estão em conexão discada podem simplesmente fechar e reabrir a conexão, o que geralmente fornece um endereço IP diferente. Se tudo mais falhar, o Tor fornece um fluxo constante de endereços IP em constante mudança para usar.

Biscoitos

Isso é ridiculamente fácil de burlar - basta limpar seus cookies e você estará pronto para outra conta falsa.

Cadeias de agente do usuário

Embora as cadeias de agentes de usuário sejam informações interessantes hoje em dia e próximas de exclusivas, elas são tão fáceis de falsificar quanto cookies e informações semelhantes.

Outros esquemas que dependem da ausência de algo

Todos os itens acima têm em comum que eles verificam que algo ainda não existe , o que é fácil de ignorar, simplesmente removendo ou alterando o que você está verificando. O que quer que você faça, se verificar que o usuário não possui algo, não funcionará. É como tentar restringir o acesso a um teatro concedendo a todos que já têm ingresso e depois recusando o acesso a todos que podem produzir um ingresso válido.

Outros serviços

Você pode usar uma conta em outro serviço (por exemplo, OpenID, Facebook, Twitter etc.), mas está apenas mudando o problema - se as pessoas podem criar contas falsas no seu site, podem fazê-lo em outro. O email também não funciona: configurar contas de email falsas é tão fácil quanto configurar contas de twitter falsas, se não mais fáceis, e o mundo está cheio de provedores de email descartáveis.

Coisas que podem funcionar

Contas pagas.

A maneira mais segura é transformar suas coisas em um serviço pago; se as pessoas tiverem que pagar por suas contas, não poderão simplesmente abrir contas falsas. Mas o mais provável é que você não queira isso.

Identificação do mundo real.

Vincule contas a objetos do mundo real. Os celulares funcionam bem, pois custam dinheiro e podem ser verificados enviando mensagens de texto. Os cartões de crédito também funcionam, mas aumentam o limite de confiança - as pessoas não fornecem apenas os dados do cartão de crédito com a mesma disposição que o número do celular ou o endereço de e-mail. Você também estará sujeito a requisitos mais restritivos. Números de passaporte e números de previdência social seriam ótimos se você os pudesse verificar; mas provavelmente você não pode. Teoricamente, o correio tradicional funcionaria, mas seria um processo de registro complicado, e eu esperaria que isso afugentasse mais pessoas do que você ganha com a promoção.

Contas valiosas.

Se o seu site tiver algum tipo de recurso 'karma' (como reputação no Stackexchange ou pontos de karma no reddit), você poderá limitar a promoção a contas que tenham coletado uma quantidade mínima de pontos de karma, tanto na pessoa que o distribuiu como no novo conta - por exemplo, uma nova conta só pode contar após a coleta de 100 pontos, e somente as contas existentes com 1000 pontos ou mais seriam elegíveis. Dessa forma, criar um grande número de contas de colheita exigiria muito esforço e, se o seu sistema de karma realmente funcionar, explorar a promoção apenas tornará seu site melhor. Mecanismos semelhantes podem ser usados para sites que envolvem o conteúdo (por exemplo, um número mínimo de fotos carregadas, etc.), mas você tem que ter cuidado - as pessoas podem fazer upload de qualquer coisa, então apenas o fato de que não é conteúdo não é suficiente para torná-lovalioso .

tdammers
fonte
Você me deu ótimas idéias! O que eu pude fazer então é o seguinte: permitir que os usuários convidem quantas pessoas quiserem, mas ainda no sorteio, eles contarão como um (para que seja imparcial). Dessa forma, se um usuário quiser mais chances, ele terá que convidar da conta recém-criada (convidada) e assim por diante. Depois, uma semana após o final do período da promoção, use apenas as pessoas que fizeram logon na última semana. Você acha que isso pode funcionar?
john smith
a propósito, "contas valiosas" parece ser o caminho a seguir! A coisa toda de karma também parece ótima para marketing. mais usuários com mais (e melhor) conteúdo é uma ótima maneira de aprimorar toda a experiência no site.
john smith
1
@ johnsmith: Não, isso não vai funcionar. Se alguém pode criar um monte de criações fictícias de contas, o que os impede de criar scripts para vários logins fictícios de contas e um pouco de atividade falsa? O login sozinho não cria valor suficiente para impedir as pessoas de abusar, você precisa de algum tipo de validação humana, diretamente, ou através da moderação da comunidade (karma), ou vinculando ativos do mundo real à conta.
tdammers
8

Você não pode

Não há absolutamente nenhuma maneira de fazer isso.

Veja o valor se o Spam está sendo divulgado na Internet hoje. Simplificando, as pessoas que tentam impedir os spammers estão enfrentando uma tarefa mais fácil do que você. Os Anti-Spammers procuram Robôs que fingem ser pessoas diferentes. Você está procurando pessoas que fingem ser pessoas diferentes. Os anti-spammers estão perdendo, você não tem chance.

Você também corre o risco de as pessoas criarem várias contas falsas, cada uma recomendando outra conta falsa. Então, tudo o que você precisa é de um idiota (quem sabe o que está fazendo) para criar centenas de contas falsas e centenas de recomendações falsas.

Se houver uma chance realista de que essa promoção gere uma grande quantidade de contas indesejadas em seu sistema, eu a cancelarei.

Consulte também: Como impedir que os usuários criem várias contas em um site?

Idiotas
fonte
e se eu desse apenas uma chance por convite? como permitir que as pessoas a convidar tantas pessoas quanto eles querem, mas, não alterando as suas chances (contando sempre como se eles convidaram apenas uma pessoa)
john smith
@johnsmith Eles podem convidar uma pessoa falsa, ou podem criar 20 contas falsas e pedir que cada um convide outras 20 contas falsas. (Não estou dizendo que isso vai acontecer, estou apenas dizendo que pode. IMHO Sua recompensa é muito pequena para levar alguém a chegar a esse ponto, mas se você oferecer $ 50k, garanto que isso acontecerá)
Parvos
no sorteio, pude escolher apenas as pessoas que se conectaram na última semana (ou mês). Ao encerrar a participação uma semana (ou mês) antes do sorteio, as pessoas que criaram mais de uma conta teriam apenas uma opção (acredito). É claro que apenas se uma (e única) chance foi dada a todos em primeiro lugar, como descrito no meu primeiro comentário. O que você acha? Posso estar faltando alguma coisa? Eu acho que isso pode realmente funcionar.
john smith
@johnsmith Se esses são os "Termos" do concurso, você deve declará-lo como tal. Executar loterias não é uma tarefa simples, há uma tonelada de legalidades envolvidas. Escusado será dizer que, uma vez que esses termos são públicos, perde sua eficácia. (Gostaria também de reiterar que acho que você não terá um problema por causa do pequeno incentivo à relatividade oferecido aqui) #
2120 idiotas
Isso pode ser chamado de loteria? É grátis para participar. Acho que nunca foi ilegal doar coisas de graça: estou livre para doar minhas coisas para quem eu quiser, se ele / ela estiver disposto a comprá-las. Se está claramente indicado ou não nos termos, isso é outra coisa, é claro. Entendo que todas as regras devem ser claras.
john smith
2

Já vi soluções verificando endereços IP antes. Isso geralmente funciona porque a maioria das pessoas não sabe ou não pode ser incomodada usando proxies. No entanto, usuários de universidades, empresas, cibercafés etc., onde muitas pessoas compartilham o mesmo IP público, serão afetados negativamente. Muitos falsos positivos.

Os cookies também são usados ​​em algumas soluções. No entanto, trapaceiros sofisticados geralmente conseguem contornar isso. Negativos falsos se os trapaceiros sabem como.

Eu próprio uso a autenticação móvel, na qual os usuários precisam digitar um código enviado para o celular. Isso evita a grande maioria dos truques, embora exija mais trabalho de infraestrutura.

Você também pode considerar exigir que os usuários efetuem login no Facebook, etc., o que aumentaria amplamente os esforços necessários para trapacear.

Afinal, exibir uma faixa altamente visível na página de entrada informando que, se a entrada dupla for encontrada, todas as entradas do usuário serão anuladas podem impedir alguns trapaceiros em potencial.

Xeon
fonte
Os cookies são indiscutivelmente melhores, já que os escritórios corporativos rotineiramente NAT têm um único IP público para todo o escritório. Se alguém se incomodar em limpar seus cookies apenas para se inscrever, provavelmente você está lidando com um usuário determinado e suficientemente sofisticado o suficiente para tentar outras coisas também.
precisa saber é o seguinte
Para se locomover, os cookies não requerem sofisticação. Apenas limpe seus cookies e vá novamente. Ou instale a Barra de Ferramentas do Desenvolvedor da Web ou algo parecido para limpar cookies individuais.
tdammers
Você está correto, tdammers, limpar o cookie não é nada difícil para programadores como nós. No entanto, nem todo usuário médio de computador sabe como.
Xeon
@Xeon - É uma caixa de seleção no Firefox, IE e Chrome para limpar os cookies quando a guia é fechada.
Ramhound 21/09/12
0

Você precisa vinculá-lo a algo difícil de replicar livremente. Dinheiro é bom. Uma mensagem de texto para celular também é boa (um código de registro por número de telefone celular). Obviamente, você assustará uma grande porcentagem de seus assinantes em potencial. Ou terceirize o problema para um site maior - use o login do facebook e deixe o facebook decidir quem é real.

ddyer
fonte