Hallo,
habe eine Umfrage auf meiner Seite eingebaut, die aber anscheinend manipulierbar ist. Ich weiß aber nicht warum.
Es ist so, dass die Umfrage angezeigt wird (wenn das Cookie nicht gesetzt ist, welches gesetzt wird, wenn man schon abgestimmt hat) und man zwischen einer von mehreren Antwortmöglichkeiten wählen kann. Mittels Post-Variable wird die angeklickte Antwortmöglichkeit zur Frage und eine Zufallsvariable (wird auch in einer Sessionvariable gespeichert) an das auswertende Dokument übergeben.
Dort wird noch mal geprüft ob der User schon teilgenommen hat (mit dem gesetzten Cookie) und ob die übergebene Zufallsvariable mit der in der Session-Variable gespeicherten Zufallsavriable übereinstimmt. Ist dies der Fall, wird die Anzahl der Stimmen dieser Antwortmöglichkeit in der DB um 1 erhöht.
Bewusst ist mir, dass diese Umfrage mittels Cookie löschen manipulierbar ist, aber dort ist wohl noch eine Sicherheitslücke drin. Denn innerhalb weniger Minuten dutzende oder hunderte von Stimmen dazuzählen in dem immer wieder das Cookie gelöscht wird, halte ich für unwahrscheinlich. Da es keine Umfragen von besonderer Wichtigkeit sind, wird das wohl kaum einer machen.
Wer hat eine Idee wo der Fehler liegen könnte? Welche Möglichkeit gäbe es die Sicherheitslücke des "Cookie löschen" zu verhindern? IP-Adressen abgleichen hätte man doch das Problem das AOL-User die gleiche ausspucken, oder?
Wäre super, wenn ihr mir helfen könntet!
Grüße, Marco