caching - 如何记住匿名投票

Question

为匿名投票实现“内存”或持久性的最佳方法是什么？前几天我正在浏览某个网站(不幸的是我忘记了 URL)，我可以快速“竖起大拇指”或“竖起大拇指”一个项目。所以我对几个项目进行了投票。然后我关闭了所有浏览器实例，删除了所有浏览器历史记录和文件。我回到网站对一些相同的项目进行投票，但它“知道”我已经投票了。所以我想知道实现这一目标的最佳方法是什么

我读过关于 evercookies 的文章，但不知何故，它们似乎不是对待用户的好方法。我不想走那条路。还是 evercookies 是实现这一目标的唯一方法？

如果evercookies不是这背后的机制，那么我能想到的唯一方法就是记住客户端的IP+用户代理+其他东西。但什么是“别的东西”？

有什么想法吗？

问候，
阿奇尔

Answer 1

站点可能会结合使用以下各项来尝试识别泛滥或滥用某种形式(例如在线投票)。没有任何方法是完全可靠的。事实上，大多数都是微不足道的。

识别同一个人:

设置 cookie(例如 session cookie)

比较IP地址

一种具有 cookie 的 Hueristic 方法，并在没有 cookie 时比较部分 IP 地址(/24 子网)和/或用户代理作为备份。

防止其他类型的滥用:

洪水控制:不允许来自某个 IP 子集或每个人的每分钟超过一定数量的投票。

垃圾邮件检测:尝试通过签名检测机器人(例如格式错误的用户代理或接受 header 等)

让用户跳过箍:

CAPTCHA/机器人检测

让用户通过电子邮件确认他们的投票

使用户注册，提供唯一的邮箱地址，确认邮箱地址

对于每一项措施，都有一个相等和相反的对策。例如，滥用者可能会忽略 cookie，改变他的用户代理或使用匿名服务，为每个请求改变他的 IP 地址。他可能会使用多个带有一次性电子邮件地址的帐户进行注册，甚至还有一些方法可以尝试打败 CAPTCHA(例如，为另一个站点上的用户重播 CAPTCHA)。

请注意，对于决心破坏的人来说，evercookie 对您的作用并不比 cookie 多。例如，它们不会影响机器人。

我个人不喜欢使用让用户跳过障碍的障碍。希望我已经证明，即使您需要注册，您也不会比使用良好的洪水控制算法更能防范滥用者，因为获得多个一次性电子邮件地址是微不足道的。