Problemi

Come prevenire votazioni multiple per un concorso online

In questi giorni sto gestendo il concorso Best Breed Photo Contest per conto di Best Breed – Ohio (USA). E’ un concorso fotografico a partecipazione gratuita dove vince la foto più votata. La votazione si fa online sul sito www.expodog.com/concorso e, per regolamento, non è possibile votare più di una volta la stessa foto.

Ecco… qui sorge il problema. Va bene il regolamento, ma anche la tecnologia deve venire incontro a questo benedetto regolamento: NON PIU’ DI 1 VOTO per ogni foto DURANTE TUTTO IL MESE DEL CONCORSO… E’ ovvio, si fa per evitare che “tizio” carichi la sua foto e continui a votarla all’infinito… il concorso non avrebbe senso. Quindi vediamo i problemi che mi sono affrontato (e continua ad affrontarmi) per rendere il concorso più serio e affidabile e garantire tutti i concorrenti sulla buona tenuta del regolamento a livello tecnologico.

Cookies

Primo punto assolutamente da considerare è memorizzare un piccolo “biscottino” nel PC del votante tenendo conto della foto votata ed inibendo l’apparizione del bottone VOTA dopo la prima votazione… certo ma… c’e’ sempre il furbacchione che cancella i coockies e torna a votare!!! MANNAGGIA… per cui…

Sessioni

Registriamo in una sessione l’IP del votante associato all’ID della foto. Per cui ora il bottone VOTA non è più legato al solo coockie ma anche alla sessione che è residente sul server e non puo’ essere cancellata…Ma… lo SPAM….

Anti Spam

Bisogna tenere presente che ci sono pure i malvagi “robot” o anche “umani deficienti” che utilizzano impropriamente i form di invio da javascript esterni o altri sistemi di invio e compilazione automatica o quasi. Dunque è possibile che questi “lestofanti” assegnino voti a casaccio senza passare per la pagina reale di votazione ma solo, appunto, postano i parametri con un programma. Per questo motivo, normalmente, vengono richiesti i caratteri CAPTCHA per confermare l’invio. Questi caratteri sono un immagine un po’ “distorta” che contiene, appunto, dei caratteri / numeri che l’utente deve inserire in un campo del modulo per confermare l’invio. Ovviamente un robot/programma automatico non riuscirebbe a leggere sti caratteri invalidano quindi il modulo (o la votazione nel mio caso). E’ ovvio che nel caso di una SEMPLICE VOTAZIONE (simile al Mi piace) richiedere ad ogni persona di convalidare con un CAPTCHA sarebbe una FRUSTRAZIONE immensa e molti rinuncerebbero a votare….. COSI’ ho ideato un sistema abbastanza “furbo” per prevenire i robot (che son normalmente degli imbecilli)… qual’è il mio trucco… Se ti interessa scrivimi… sarò contento di spiegartelo, al momento (a concorso in piedi) cerco di evitare di suggerire ad eventuali loschi individui…

…e per finire…I SERVER PROXY

La maggior parte dei metodi sopra descritti vengono ANNULLATI dall’uso di server PROXY, ovvero da server che “mascherano” l’indirizzo IP del votante, per cui il voto diventa ogni volta di un “nuovo” utente (cambiando appunto l’indirizzo IP). Anche in questo caso ho escogitato 2 trucchetti: uno OGGETTIVO e l’altro INDUTTIVO. Vi spiego solo il metodo induttivo, PER SAPERE IL METODO OGGETTIVO… CONTATTATEMI…

Il metodo induttivo prevede l’analisi delle statistiche analytics del server. Visto l’enorme quantità di voti ottenuti da 1 sola foto la scorsa settimana ho cercato, tramite analytics, di capire da dove venivano ed ho scoperto che la stessa riceveva 1 voto ogni 15 secondi circa ed ogni volta da un posto diverso del mondo (indonesia, cina, stati uniti, colombia, brasile, giappone)… alquanto sospetto. Ho poi analizzato la tecnologia di questi voti ed ho scoperto che tutti i votanti di tutte le parti del mondo votavano con Windows 7, Firefox (versione xyz.. non la ricordo), Flash 9, ma soprattutto lo schermo a 1366×768… DIREI che il computer era decisamente lo stesso. Ho quindi immediatamente escluso dal concorso la foto ed introdotto altri 2 sistemi di prevenzione di cui parlo qua sopra….

Stai organizzando una votazione online e ti serve la mia consulenza ? contattami !

 

 

WordPress: come renderlo sicuro in 8 mosse…e addio hackers!

Prima o dopo è capitato o capiterà anche a te che stai gestendo un blog con WordPress: qualcuno ti bucherà il sito! Bene, prima di trovarti con una bella gatta da pelare ti darò qualche consiglio su come prevenire la maggior parte degli attacchi sul tuo WordPress:

  • Inserisci nel file wp-config.php (root della tua installazione) le chiavi univoche di autenticazione. Per farlo vai alla riga 42 del file e trovi le istruzioni per farlo. Bene, fallo e salva il file sul server. Da questo momento tutti gli utenti dovranno ri-autenticarsi per accedere (inserire user e password)
  • Cancella dalla root i file che dicono che versione hai, ovvero: LEGGIMI.txt,license.txt,licenza.html e readme.html… non servono a nulla e, comunicando al potenziale hacker la versione del tuo WP gli fanno capire come poter attaccare.
  • Sul file wp-config.php c’e’ scritto tutto ciò che occorre per connettersi al database: non lasciamo la chiave di casa sotto lo zerbino… nascondiamo questo (ed altri) file da possibili occhi indiscreti. Per rendere inaccessibili i file wp-config.php, .htaccess e per “oscurare” in contenuto di tutte le cartelle basta editare il file .htaccess della root ed aggiungere queste poche righe alla fine:

# Protezione file wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# blocco file htaccess
<Files .htaccess>
order allow,deny
deny from all
</Files>

#blocco accesso cartelle
Options All -Indexes

  • Tieni sempre aggiornata l’ultima versione di WordPress e di tutti i plugin che usi
  • Cancella tutti i pluigin non utilizzati e tutti i temi non usati
  • Installa il plugin “Hide WordPress Version” per nascondere la versione del tuo WP
  • Installa il plugin “AntiVirus” ed esegui la scansione del tema in uso alla ricerca di file “sospetti”. Puoi anche farti inviare un report giornaliero della scansione e dormire sonni tranquilli
  • Per finire installa il plugin “Better WP Security” vero portento per mettere il lucchetto al tuo WordPress. Come opzione base, dopo l’installazione del plugin, potrai attivare la procedura automatica per la protezione del sito (nel 90% dei casi tutto va liscio, ma ti consiglio di fare un backup del database e della root se le cose non vanno bene. Il plugin in fatti puo’ entrare in conflitto con temi o altri plugin… prova solo DOPO aver fatto un backup. Con questo ottimo plugin potrai, tra le altre cose:
    • Disabilitare l’amministrazione del sito a determinate ore del giorno
    • Bannare utenti ed IP
    • Cambiare la cartella wp-content con altro nome
    • Pianificare il backup del database
    • Cambiare il prefisso delle tabelle da wp_ ad altro prefisso a random
    • Modificare la pagina di amministrazione (ad esempio www.miosito.it/gestionesito)
    • Limitare i brute force attakcs
    • insomma… una vera manna dal cielo per proteggere il nostro blog!


Le regole della buona educazione

Facebook è senz’altro una splendida piattaforma per connettersi alle persone. Proprio per questo ho pensato di fare cosa gradita ai miei clienti allevatori, registrati al sito www.expodog.com di diventare “amico” su Facebook.

L’idea è proprio di offrire una nuova piattaforma per contattarmi, un servizio al cliente, insomma…Di allevatori registrati sul mio portale ce ne sono circa 1000.

Facebook offre un ottimo tool per importare i contatti dalla rubrica di outlook così mi esporto tutte le email e, a blocchi di 100 per non appesantire il serverone di Facebook, mi accingo ad importare (ripeto) i MIEI contatti su FB.

Purtroppo a FB la cosa deve essere puzzata di SPAM perchè dopo 300 email importate mi ha bloccato la funzione.

Questo sta a dimostrare che le migliori intenzioni (ovvero le mie eheheh) devono scontrarsi con esigenze più “alte” di me. Peccato, soprattutto per FB, perchè avrei fatto iscrivere al megaSocial svariate centinaia di nuovi utenti.

Monito su Facebook

Mai importare troppi contatti tutti assieme. Per esperienza dopo 300 email FB mi ha bloccato…spero di poter ripartire domani.

 Scroll to top