Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: защита формы опроса
Форумы портала PHP.SU » » Вопросы новичков » защита формы опроса

Страниц (1): [1]
 

1. nilbug - 29 Января, 2013 - 08:25:59 - перейти к сообщению
имеется некая форма вопросов. результаты выводятся, только зарегистрированным пользователям. как можно защитить форму, чтобы пользователи не могли передавать пароли другим пользователям и пользоваться результатами теста?
2. Мелкий - 29 Января, 2013 - 08:28:41 - перейти к сообщению
Никак.
Вы не определите, это тот же самый пользователь или кто-то другой зашёл с его паролем.
3. nilbug - 29 Января, 2013 - 08:42:58 - перейти к сообщению
Мелкий пишет:
Никак.
Вы не определите, это тот же самый пользователь или кто-то другой зашёл с его паролем.


может быть, стоит при выдаче результата отправлять некий проверочный код на e-mail или телефон. без него результата не будет.
4. Мелкий - 29 Января, 2013 - 09:01:46 - перейти к сообщению
Может быть стоит. Добавится головная боль с вопросом смены почты или телефона. Ну и счёт за смски.
Но что помешает человеку сделать копию результата и опубликовать уже её вместо пароля?
5. nilbug - 29 Января, 2013 - 09:11:01 - перейти к сообщению
Мелкий пишет:
Может быть стоит. Добавится головная боль с вопросом смены почты или телефона. Ну и счёт за смски.
Но что помешает человеку сделать копию результата и опубликовать уже её вместо пароля?


результат будет высылаться на почту, адрес берется из базы. сменил почту, поменялась и в базе. а результат теста не волнует как бы никого. там около 200 вопросов. в результате ответов будет тот или иной результат. думаете, кто-то захочет в 200 вопросном тесте пробовать все различные комбинации? думаю вряд ли.
6. Мелкий - 29 Января, 2013 - 09:30:59 - перейти к сообщению
nilbug пишет:
а результат теста не волнует как бы никого

nilbug пишет:
пользователи не могли передавать пароли другим пользователям и пользоваться результатами теста?

Вы себе противоречите Однако

Я думаю только одно - если это кому-нибудь надо будет, это будет сделано. Берётся фрилансер (1шт.) и ваш тест - спустя какое-то время перебираются все варианты. Что с верификацией по email, что по sms - вопрос только цены и, следовательно, целесообразности.
7. EuGen - 29 Января, 2013 - 09:37:26 - перейти к сообщению
Мелкий пишет:
Я думаю только одно - если это кому-нибудь надо будет, это будет сделано. Берётся фрилансер (1шт.) и ваш тест - спустя какое-то время перебираются все варианты. Что с верификацией по email, что по sms - вопрос только цены и, следовательно, целесообразности.

На самом деле, перебор всех вариантов ответа в тесте из 200 вопросов - даже если в каждом из них допустим лишь ответ "Да/Нет" (2 варианта) является числом 61-го порядка. Если же ответов будет 3 ("Да/Нет/Не знаю"), то это уже число 96-го порядка, что больше, чем число молекул в известной части Вселенной.
Суть дела здесь, как я понял, не в переборе вариантов, а в защите результата. И вот его защитить не получится - хотя бы потому, что если информация ценная, её всегда можно сохранить (начиная от "Сохранить как" в окне браузера и заканчивая фотографированием монитора с готовым результатом).
8. nilbug - 29 Января, 2013 - 09:49:24 - перейти к сообщению
EuGen пишет:
Суть дела здесь, как я понял, не в переборе вариантов, а в защите результата. И вот его защитить не получится - хотя бы потому, что если информация ценная, её всегда можно сохранить (начиная от "Сохранить как" в окне браузера и заканчивая фотографированием монитора с готовым результатом).


да суть дела в защите результата. человек покупает доступ к тесту, однако он может кому угодно передать пароль, и по сути тест будет проходить все кому не лень.
9. Мелкий - 29 Января, 2013 - 09:49:29 - перейти к сообщению
Хм, и правда, не туда думаю. Ну, значит, делается второй сайт, скрывающий за собой верификацию пользователя у вас и дальше типичная гонка вооружений.
10. EuGen - 29 Января, 2013 - 09:51:45 - перейти к сообщению
Ни по телефону, ни по e-mail нельзя установить идентичность пользователя. Вероятно, можно придумать одноразовые пароли с конечным сроком действия - однако это может вызвать неудобство у пользователя, который потерял соединение с Internet во время прохождения теста и т.п.
11. MaikL - 29 Января, 2013 - 11:42:09 - перейти к сообщению
Занеси ему в куки некий ключ, доступный лишь ему, и при каждом переходе на другую страницу меняй его, обновляя его и в куках и в базе, в случае если пользователь отсутствует более 2ух минут, удаляй ключ из базы, и при повторном входе высылай ему на ящик (введённый при регистрации без возможности смены) новый линк входа с новым ключом в самой ссылке действительный в течении пары минут.

Но возможно передача аккаунта емайл в другие руки, хотя можно ещё зделать привязку к ip, ua и региону владельца.
Но скажем таже опера порой меняет ip адреса, НО всё это будет весьма не комфортно для пользователя.
12. esterio - 29 Января, 2013 - 11:45:13 - перейти к сообщению
Чем больше безопасность тем хуже юзабилити и наоборот. Тут нужно найти некий компромис. Привязка к IP - дохлый номер(дынамическый ID, NAT и т.д.), куки - тоже не гарантия. Но есть выход - теперь доступно локальное хранилище браузера(но одно но - не все поддерживают, особенно ослик)

 

Powered by ExBB FM 1.0 RC1