Vermeiden Sie doppelte Abonnements

8

Ich arbeite an einer Website, die ein bisschen Marketing erfordert. lassen Sie mich erklären.

Diese Website bietet einem glücklichen Gewinner einen einzigen iTunes 50 $ -Gutschein.

Um an der Verlosung teilnehmen zu können, müssen Sie mindestens einen Freund zur Website einladen (und sich ihm anschließen). Ziemlich einfach.

Jetzt wäre es natürlich für jeden einfach, ein falsches Konto zu erstellen und dieses Konto einzuladen. Ich dachte also über einen anderen Weg nach, um irgendwie herauszufinden, ob Betrug möglich ist.

Ich dachte an eine IP-Überprüfung des neu abonnierten (eingeladenen) Benutzers. Wenn in den letzten 24 Stunden dieselbe IP protokolliert wurde und dies der Fall ist, untersuchen Sie dies genauer.

Aber ich dachte, dass es vielleicht einen klügeren Weg gibt, um dieses Problem zu umgehen. Hat jemand jemals darüber nachgedacht? Welche anderen Lösungen haben Sie versucht?

Danke im Voraus.

security John Smith
quelle
4
Sie könnten erklären, dass der erwartete Wert jedes Abonnements 0,0001 USD beträgt, aber ich nehme an, dass dies die gesamte Kampagne vermasseln würde.
Ddyer
@ John - Diese Frage kann nicht beantwortet werden. Auf diese Frage gibt es keine Antwort, da ich Ihnen bei jeder von Ihnen implementierten Lösung einen Weg überlegen kann. Zum Beispiel kann ich es mit einer KOSTENLOSEN VPN-Verbindung umgehen, um mich zweimal zu rekrutieren.
Ramhound
wie jede andere Programmierlösung. Als Programmierer wissen wir genau, dass es für jedes System, für wie viel "sicher" es sein könnte, immer einen Weg geben wird. Dann was? wir produzieren nichts, weil jedes System umgangen werden kann?
John Smith

Antworten:

9

Es funktioniert nur, wenn das Konto fest an etwas Wertvolles und Überprüfbares gebunden ist, das seinen Besitzer eindeutig identifiziert.

Dinge, die nicht funktionieren:

IP-Adressen

Diese sind weder eindeutig (denken Sie an Unternehmensfirewalls, Internetcafés, wiederverwendete dynamische IPs in Mobilfunknetzen, Proxys usw.) noch konstant (viele Internetverbindungen haben dynamische IPs, insbesondere mobile). Eine IP-Prüfung ist auch leicht zu umgehen: Den meisten Menschen stehen heutzutage mindestens zwei Internetverbindungen zur Verfügung (mobil und zu Hause oder zu Hause und bei der Arbeit usw.). Wenn Sie dies nicht tun, ist es nicht möglich, einen geeigneten Proxy-Dienst zu finden. überhaupt nicht schwer. Diejenigen, die sich noch in der Einwahl befinden, können ihre Verbindung einfach schließen und wieder öffnen, wodurch sie normalerweise eine andere IP-Adresse erhalten. Wenn alles andere fehlschlägt, stellt Tor einen stetigen Strom sich ständig ändernder IP-Adressen zur Verfügung.

Kekse

Diese sind lächerlich leicht zu umgehen - löschen Sie einfach Ihre Cookies und Sie sind gut für einen anderen gefälschten Account.

Benutzeragentenzeichenfolgen

Während Benutzeragentenzeichenfolgen heutzutage interessante Informationen sind und nahezu einzigartig sind, sind sie genauso leicht zu fälschen wie Cookies und ähnliche Informationen.

Andere Systeme, die auf dem Fehlen von etwas beruhen

Allen oben genannten Punkten ist gemeinsam, dass sie überprüfen, ob noch etwas nicht vorhanden ist. Dies kann leicht umgangen werden, indem einfach das Objekt entfernt oder geändert wird, gegen das Sie prüfen. Was auch immer Sie kommen mit sich selbst, wenn es überprüft, ob der Benutzer sich nicht etwas, es wird nicht funktionieren. Es ist so, als würde man versuchen, den Zugang zu einem Theater einzuschränken, indem man jedem, der bereits ein Ticket hatte, den Zugang verweigert und dann jedem den Zugang verweigert, der ein gültiges Ticket vorlegen kann.

Sonstige Dienstleistungen

Sie könnten ein Konto bei einem anderen Dienst (z. B. OpenID, Facebook, Twitter usw.) verwenden, aber dann verschieben Sie nur das Problem. Wenn Benutzer auf Ihrer Website gefälschte Konten erstellen können, können sie dies bei einem anderen tun. E-Mail funktioniert auch nicht: Das Einrichten gefälschter E-Mail-Konten ist genauso einfach wie das Einrichten gefälschter Twitter-Konten, wenn nicht sogar einfacher, und die Welt ist voll von Wegwerf-E-Mail-Anbietern.

Dinge, die funktionieren könnten

Bezahlte Konten.

Am sichersten ist es, Ihr Ding in einen kostenpflichtigen Service zu verwandeln. Wenn Leute für ihre Konten bezahlen müssen, können sie nicht einfach Dummy-Konten eröffnen. Aber wahrscheinlich willst du das nicht.

Identifikation in der realen Welt.

Binden Sie Konten an reale Objekte. Handys funktionieren gut, da diese Geld kosten und durch Senden von Textnachrichten überprüft werden können. Kreditkarten funktionieren auch, aber sie erhöhen die Vertrauensschwelle - die Leute geben Ihnen ihre Kreditkartendaten nicht nur so bereitwillig wie ihre Handynummer oder E-Mail-Adresse. Sie werden auch strengeren Anforderungen an Ihr Ende unterliegen. Pass- und Sozialversicherungsnummern wären großartig, wenn Sie sie nur überprüfen könnten. aber höchstwahrscheinlich kannst du nicht. Schneckenpost würde theoretisch funktionieren, aber es würde einen umständlichen Registrierungsprozess bedeuten, und ich würde erwarten, dass sie mehr Leute abschreckt als das, was Sie durch die Aktion gewinnen würden.

Wertvolle Konten.

Wenn Ihre Website über eine Art "Karma" -Funktion verfügt (z. B. Reputation bei Stackexchange oder Karma-Punkte bei reddit), können Sie die Promotion auf Konten beschränken, die eine Mindestanzahl an Karma-Punkten gesammelt haben, sowohl für die Person, die sie verbreitet, als auch für die neue Konto - Beispielsweise kann ein neues Konto erst nach dem Sammeln von 100 Punkten gezählt werden, und nur vorhandene Konten mit 1000 Punkten oder mehr sind berechtigt. Auf diese Weise würde das Erstellen einer großen Anzahl von Erntekonten viel Aufwand erfordern. Wenn Ihr Karmasystem tatsächlich funktioniert, wird Ihre Website durch die Nutzung der Aktion nur besser. Ähnliche Mechanismen können für Websites verwendet werden , die Inhalte beinhalten (zB eine minimale Anzahl von hochgeladenen Bilder, etc.), aber man muss vorsichtig sein - die Menschen können einfach alles hochladen, so dass nur die Tatsache , dass es ist Inhalt zu machen , ist nicht genugwertvoll .

tdammers
quelle
Du hast mir tolle Ideen gegeben! Was ich dann tun könnte, ist Folgendes: Erlaube Benutzern, so viele Personen einzuladen, wie sie möchten, aber immer noch in der Verlosung, zählt es als eine (so dass es unparteiisch ist). Auf diese Weise müsste ein Benutzer, wenn er mehr Chancen haben möchte, vom neu erstellten (eingeladenen) Konto aus einladen und so weiter. Ziehen Sie dann eine Woche nach dem Ende des Aktionszeitraums nur von den Personen, die sich in der letzten Woche angemeldet haben. Glaubst du, das könnte funktionieren?
John Smith
Übrigens, "wertvolle Konten" scheinen der richtige Weg zu sein! Das ganze Karma klingt auch für Marketing großartig. Mehr Benutzer mit mehr (und besseren) Inhalten sind eine großartige Möglichkeit, die gesamte Erfahrung auf der Website zu verbessern.
John Smith
1
@ Johnsmith: Nein, das wird nicht funktionieren. Wenn jemand eine Reihe von Dummy-Kontoerstellungen skripten kann, was hindert ihn daran, auch eine Reihe von Dummy-Kontoanmeldungen und ein bisschen gefälschte Aktivität zu erstellen? Das alleinige Anmelden schafft nicht genug Wert, um den Missbrauch von Personen zu verhindern. Sie benötigen eine Art menschliche Validierung, entweder direkt oder durch Community-Moderation (Karma) oder durch Verknüpfung realer Assets mit dem Konto.
tdammers
8

Das kannst du nicht

Es gibt absolut keine Möglichkeit, dies zu tun.

Sehen Sie sich den Betrag an, wenn Spam heute im Internet verbreitet wird. Einfach ausgedrückt, die Leute, die versuchen, Spammer zu stoppen, stehen vor einer einfacheren Aufgabe als Sie. Die Anti-Spammer suchen nach Robotern, die vorgeben, verschiedene Menschen zu sein. Sie suchen Menschen, die vorgeben, andere Menschen zu sein. Die Anti-Spammer verlieren, Sie haben keine Chance.

Sie laufen auch Gefahr, dass Personen mehrere gefälschte Konten erstellen, die jeweils ein anderes gefälschtes Konto empfehlen. Alles, was Sie brauchen, ist ein Idiot (der weiß, was sie tun), um Hunderte von gefälschten Konten zu erstellen, die Hunderte von gefälschten Empfehlungen enthalten.

Wenn es eine realistische Chance gibt, dass diese Aktion eine große Anzahl von Junk-Konten in Ihrem System generiert, würde ich sie kündigen.

Siehe auch: Wie kann ich verhindern, dass Benutzer mehrere Konten auf einer Website erstellen?

Idioten
quelle
Was wäre, wenn ich nur EINE Chance pro Einladung geben würde? Als würde man Leuten erlauben, so viele Leute einzuladen, wie sie wollen, aber ihre Chancen nicht ändern (immer so zählen, als ob sie nur eine Person eingeladen hätten)
John Smith
@johnsmith Sie könnten eine gefälschte Person einladen, oder sie könnten 20 gefälschte Konten erstellen und jede von ihnen weitere 20 gefälschte Konten einladen lassen. (Ich sage nicht, dass dies passieren wird, ich sage nur, dass es möglich ist. IMHO Ihre Belohnung ist zu gering, um jemanden dazu zu bringen, diese Länge zu erreichen, aber wenn Sie
50.000
Bei der Auslosung konnte ich nur die Personen auswählen, die in der letzten Woche (oder im letzten Monat) eine Verbindung hergestellt haben. Wenn Sie die Teilnahme eine Woche (oder einen Monat) vor dem Zeichnen beenden, haben Personen, die mehr als ein Konto erstellt haben, nur eine Wahl (glaube ich). Nur natürlich, wenn überhaupt eine (und einzige) Chance für alle gegeben wurde, wie in meinem ersten Kommentar beschrieben. Was denken Sie? Könnte mir etwas fehlen? Ich denke, das könnte tatsächlich funktionieren.
John Smith
@johnsmith Wenn dies die "Bedingungen" des Wettbewerbs sind, müssen Sie dies als solches angeben. Lotteries Laufen ist keine einfache Aufgabe, gibt es einen TON beteiligte Legalitäten. Unnötig zu erwähnen, dass diese Begriffe, sobald sie öffentlich sind, ihre Wirksamkeit verlieren. (Ich möchte auch wiederholen, dass ich nicht glaube, dass Sie ein Problem wegen der Relativitätstheorie haben werden, die hier angeboten wird)
Morons
Kann man das überhaupt Lotterie nennen? Die Teilnahme ist kostenlos. Ich glaube nicht, dass es jemals illegal war, Sachen kostenlos zu verschenken: Ich kann meine Sachen an jeden verschenken, den ich will, wenn er / sie bereit ist, sie zu bekommen. Wenn es in den Begriffen klar angegeben ist oder nicht, ist das natürlich eine andere Sache. Ich verstehe, dass alle Regeln klar sein sollten.
John Smith
2

Ich habe bereits Lösungen gesehen, die IP-Adressen überprüfen. Dies funktioniert im Allgemeinen, weil die meisten Benutzer die Verwendung von Proxys nicht kennen oder nicht stören können. Benutzer von Universitäten, Unternehmen, Internetcafés usw., in denen viele Personen dieselbe öffentliche IP-Adresse haben, werden jedoch beeinträchtigt. Zu viele Fehlalarme.

In einigen Lösungen werden auch Cookies verwendet. Allerdings können anspruchsvolle Betrüger dies normalerweise umgehen. Falsch negative Ergebnisse, wenn Betrüger wissen, wie.

Ich selbst verwende die mobile Authentifizierung, bei der Benutzer einen Code eingeben müssen, der an ihr Mobiltelefon gesendet wird. Dies verhindert die überwiegende Mehrheit der Cheats, erfordert jedoch etwas mehr Infrastrukturarbeit.

Sie können auch in Betracht ziehen, dass Benutzer sich bei Facebook usw. anmelden müssen, was den Aufwand für das Betrügen erheblich erhöhen würde.

Und schließlich kann die Anzeige eines gut sichtbaren Banners auf der Einstiegsseite, das besagt, dass bei doppeltem Eintrag alle Einträge des Benutzers ungültig werden, einige potenzielle Betrüger abschrecken.

Xeon
quelle
Cookies sind wohl besser, da Unternehmensbüros routinemäßig eine einzige öffentliche IP für das gesamte Büro NAT. Wenn sich jemand die Mühe macht, seine Cookies zu löschen, nur um sich anzumelden, haben Sie es wahrscheinlich mit einem entschlossenen und ausreichend anspruchsvollen Benutzer zu tun, um auch andere Dinge auszuprobieren.
Msanford
Um Cookies zu umgehen, ist überhaupt keine Raffinesse erforderlich. Löschen Sie einfach Ihre Cookies und gehen Sie erneut. Oder installieren Sie die Web Developer Toolbar oder ähnliches, um einzelne Cookies zu löschen.
tdammers
Sie haben Recht, tdammers, das Löschen von Cookies ist für Programmierer wie uns nicht schwer. Allerdings weiß nicht jeder durchschnittliche Computerbenutzer, wie.
Xeon
@Xeon - Es ist ein Kontrollkästchen in Firefox, IE und Chrome, um Cookies zu löschen, wenn der Tab geschlossen wird.
Ramhound
0

Sie müssen es mit etwas verknüpfen, das sich nur schwer frei replizieren lässt. Bargeld ist gut. Eine Handy-Textnachricht ist auch gut (ein Registrierungscode pro Handynummer). Natürlich werden Sie einen großen Prozentsatz Ihrer potenziellen Abonnenten abschrecken. Oder lagern Sie das Problem auf eine größere Website aus - verwenden Sie den Facebook-Login und lassen Sie Facebook entscheiden, wer echt ist.

ddyer
quelle