защита формы опроса

имеется некая форма вопросов. результаты выводятся, только зарегистрированным пользователям. как можно защитить форму, чтобы пользователи не могли передавать пароли другим пользователям и пользоваться результатами теста?

Никак.
Вы не определите, это тот же самый пользователь или кто-то другой зашёл с его паролем.

-----
PostgreSQL DBA

может быть, стоит при выдаче результата отправлять некий проверочный код на e-mail или телефон. без него результата не будет.

Может быть стоит. Добавится головная боль с вопросом смены почты или телефона. Ну и счёт за смски.
Но что помешает человеку сделать копию результата и опубликовать уже её вместо пароля?

-----
PostgreSQL DBA

результат будет высылаться на почту, адрес берется из базы. сменил почту, поменялась и в базе. а результат теста не волнует как бы никого. там около 200 вопросов. в результате ответов будет тот или иной результат. думаете, кто-то захочет в 200 вопросном тесте пробовать все различные комбинации? думаю вряд ли.

Вы себе противоречите

Я думаю только одно - если это кому-нибудь надо будет, это будет сделано. Берётся фрилансер (1шт.) и ваш тест - спустя какое-то время перебираются все варианты. Что с верификацией по email, что по sms - вопрос только цены и, следовательно, целесообразности.

-----
PostgreSQL DBA

На самом деле, перебор всех вариантов ответа в тесте из 200 вопросов - даже если в каждом из них допустим лишь ответ "Да/Нет" (2 варианта) является числом 61-го порядка. Если же ответов будет 3 ("Да/Нет/Не знаю"), то это уже число 96-го порядка, что больше, чем число молекул в известной части Вселенной.
Суть дела здесь, как я понял, не в переборе вариантов, а в защите результата. И вот его защитить не получится - хотя бы потому, что если информация ценная, её всегда можно сохранить (начиная от "Сохранить как" в окне браузера и заканчивая фотографированием монитора с готовым результатом).

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

да суть дела в защите результата. человек покупает доступ к тесту, однако он может кому угодно передать пароль, и по сути тест будет проходить все кому не лень.

Хм, и правда, не туда думаю. Ну, значит, делается второй сайт, скрывающий за собой верификацию пользователя у вас и дальше типичная гонка вооружений.

-----
PostgreSQL DBA

Ни по телефону, ни по e-mail нельзя установить идентичность пользователя. Вероятно, можно придумать одноразовые пароли с конечным сроком действия - однако это может вызвать неудобство у пользователя, который потерял соединение с Internet во время прохождения теста и т.п.

-----
Есть в мире две бесконечные вещи - это Вселенная и человеческая глупость. Но насчет первой .. я не уверен.

Занеси ему в куки некий ключ, доступный лишь ему, и при каждом переходе на другую страницу меняй его, обновляя его и в куках и в базе, в случае если пользователь отсутствует более 2ух минут, удаляй ключ из базы, и при повторном входе высылай ему на ящик (введённый при регистрации без возможности смены) новый линк входа с новым ключом в самой ссылке действительный в течении пары минут.

Но возможно передача аккаунта емайл в другие руки, хотя можно ещё зделать привязку к ip, ua и региону владельца.
Но скажем таже опера порой меняет ip адреса, НО всё это будет весьма не комфортно для пользователя.

Чем больше безопасность тем хуже юзабилити и наоборот. Тут нужно найти некий компромис. Привязка к IP - дохлый номер(дынамическый ID, NAT и т.д.), куки - тоже не гарантия. Но есть выход - теперь доступно локальное хранилище браузера(но одно но - не все поддерживают, особенно ослик)