Evitar suscripciones "dobles"

8

Estoy trabajando en un sitio web que requiere un poco de marketing; Dejame explicar.

Este sitio web ofrece un solo , por ejemplo, un cupón de iTunes de $ 50 para un afortunado ganador.

Para participar en el sorteo, debe invitar (y debe unirse) al menos a un amigo al sitio web. Muy claro.

Ahora, por supuesto, sería fácil para cualquiera crear una cuenta falsa e invitar a esa cuenta, así que estaba pensando en otra forma de descubrir de alguna manera posibles trampas.

Estaba pensando en una verificación de IP en el usuario recién suscrito (invitado), y si hay la misma IP registrada en las últimas 24 horas, y si ese es el caso, investigue más al respecto.

Pero estaba pensando que tal vez hay una forma más inteligente de solucionar este problema. ¿Alguien ha pensado alguna vez sobre esto? ¿Qué otras soluciones probaste?

Gracias por adelantado.

security John Smith
fuente
44
Podría explicar que el valor esperado de cada suscripción es de $ 0.0001, pero supongo que eso arruinaría toda la campaña.
ddyer
@John: esta pregunta no se puede responder. No hay respuesta a esta pregunta, porque por cada solución que implemente, le garantizo que puedo pensar en una forma de evitarlo. Por ejemplo, puedo evitarlo usando una conexión VPN GRATUITA para reclutarme dos veces.
Ramhound
igual que cualquier otra solución de programación. Como programadores, sabemos perfectamente que cualquier sistema, por cuánto podría ser "seguro", siempre habrá una forma de evitarlo. ¿Y que? no producimos nada porque cualquier sistema puede ser evadido?
John Smith

Respuestas:

9

Solo funciona si la cuenta está vinculada a algo valioso y verificable que identifica de forma exclusiva a su propietario.

Cosas que no funcionan:

Direcciones IP

Estos no son únicos (piense en firewalls corporativos, cibercafés, IP dinámicas reutilizadas en redes móviles, servidores proxy, etc.) ni constantes (muchas conexiones de Internet tienen IP dinámicas, especialmente móviles). Una comprobación de IP también es fácil de eludir: la mayoría de las personas en estos días tienen al menos dos conexiones a Internet disponibles (móvil y hogar, hogar y trabajo, etc.), y si no lo hace, encontrar un servicio proxy adecuado no es No es difícil en absoluto. Aquellos que todavía están conectados pueden simplemente cerrar y volver a abrir su conexión, lo que generalmente les da una dirección IP diferente. Si todo lo demás falla, Tor proporciona un flujo constante de direcciones IP en constante cambio para usar.

Galletas

Estos son ridículamente fáciles de eludir: simplemente borre sus cookies y será bueno para otra cuenta falsa.

Cadenas de agente de usuario

Si bien las cadenas de agentes de usuario son fragmentos de información interesantes en estos días y casi únicas, son tan fáciles de falsificar como las cookies e información similar.

Otros esquemas que se basan en la ausencia de algo

Todo lo anterior tiene en común que verifican que algo aún no existe , lo cual es fácil de evitar simplemente quitando o cambiando la cosa con la que está comprobando. Sea lo que sea que se te ocurra, si verifica que el usuario no tiene algo, no funcionará. Es como tratar de restringir el acceso a un teatro al dar a todos los que ya han recibido una entrada, y luego denegar el acceso a todos los que pueden producir una entrada válida.

Otros servicios

Puede usar una cuenta en otro servicio (por ejemplo, OpenID, Facebook, Twitter, etc.), pero entonces simplemente está cambiando el problema: si las personas pueden crear cuentas falsas en su sitio, pueden hacerlo en otro. El correo electrónico tampoco funciona: configurar cuentas de correo electrónico falsas es tan fácil como configurar cuentas de Twitter falsas, si no es más fácil, y el mundo está lleno de proveedores de correo electrónico desechable.

Cosas que podrían funcionar

Cuentas pagas

La forma más segura es convertir su cosa en un servicio pago; Si las personas tienen que pagar sus cuentas, no pueden simplemente abrir cuentas ficticias. Pero lo más probable es que no quieras eso.

Identificación del mundo real.

Ate cuentas a objetos del mundo real. Los teléfonos celulares funcionan bien, ya que cuestan dinero y se pueden verificar enviando mensajes de texto. Las tarjetas de crédito también funcionan, pero aumentan el umbral de confianza: las personas no solo le darán sus datos de tarjeta de crédito tan voluntariamente como su número de teléfono celular o dirección de correo electrónico. También estará sujeto a requisitos más restrictivos por su parte. Los números de pasaporte y de seguridad social serían excelentes si solo pudieras verificarlos; pero lo más probable es que no puedas. El correo postal funcionaría teóricamente, pero sería un proceso de registro engorroso, y esperaría que asuste a más personas de las que ganaría con la promoción.

Cuentas valiosas.

Si su sitio tiene algún tipo de función de 'karma' (como reputación en Stackexchange o puntos de karma en reddit), puede limitar la promoción a las cuentas que han acumulado una cantidad mínima de puntos de karma, tanto en la persona que lo difunde como en el nuevo cuenta: por ejemplo, una cuenta nueva solo puede contar después de la recolección de 100 puntos, y solo las cuentas existentes con 1000 puntos o más serían elegibles. De esta manera, crear una gran cantidad de cuentas de recolección requeriría mucho esfuerzo, y si su sistema de karma realmente funciona, explotar la promoción solo mejora su sitio. Mecanismos similares pueden ser utilizados para los sitios que implican contenidos (por ejemplo, un número mínimo de imágenes cargadas, etc.), pero hay que tener cuidado - la gente puede subir nada, por lo que sólo el hecho de que no es contenido no es suficiente para que seavaliosa .

tdammers
fuente
¡Me has dado grandes ideas! Lo que podría hacer es lo siguiente: permitir a los usuarios invitar a tantas personas como quieran, pero aún en el sorteo, contará como uno (para que sea imparcial). De esta manera, si un usuario quiere más oportunidades, tendría que invitar desde la cuenta recién creada (invitada), y así sucesivamente. Luego, una semana después del final del período de promoción, extraiga solo de las personas que se conectaron en la última semana. ¿Crees que esto podría funcionar?
John Smith
por cierto, "cuentas valiosas" parece ser el camino a seguir! Todo el asunto del karma también suena genial para el marketing. Más usuarios con más (y mejor) contenido es una excelente manera de mejorar toda la experiencia en el sitio.
John Smith
1
@johnsmith: No, eso no funcionará. Si alguien puede crear un guión de un montón de creaciones de cuentas ficticias, ¿qué les impide también escribir un montón de inicios de sesión de cuentas ficticias y un poco de actividad falsa? Iniciar sesión solo no crea suficiente valor para evitar que las personas abusen, necesita algún tipo de validación humana, ya sea directamente, o mediante moderación comunitaria (karma), o al vincular activos del mundo real a la cuenta.
tdammers
8

No puedes

No hay absolutamente ninguna manera de hacer esto.

Mire la cantidad si hoy se está enviando spam a Internet. En pocas palabras, las personas que intentan detener a los spammers se enfrentan a una tarea más fácil que usted. Los Anti-Spammers buscan robots que pretenden ser personas diferentes. Estás buscando personas que fingen ser personas diferentes. Los anti-spammers están perdiendo, no tienes ninguna posibilidad.

También corre el riesgo de que las personas creen varias cuentas falsas y cada una recomiende otra cuenta falsa. Por lo tanto, todo lo que necesita es un imbécil (quién sabe lo que están haciendo) para crear cientos de cuentas falsas que hagan cientos de recomendaciones falsas.

Si existe una posibilidad realista de que esta promoción genere una gran cantidad de cuentas basura en su sistema, la cancelaría.

Ver también: ¿Cómo puedo evitar que los usuarios creen varias cuentas en un sitio web?

Imbéciles
fuente
¿Qué pasaría si dara UNA oportunidad por invitación? como la de permitir a la gente a invitar a tantas personas como deseen, pero, sin alterar sus posibilidades (contando siempre como si fueran invitados a una sola persona)
John Smith
@johnsmith Podrían invitar a una persona falsa, o pueden crear 20 cuentas falsas y hacer que cada uno de ellos invite a otras 20 cuentas falsas. (No digo que esto suceda, solo digo que puede suceder. En mi humilde opinión, tu recompensa es demasiado pequeña para presionar a alguien para que llegue a este punto, pero si ofreciste $ 50k, te garantizo que sucederá)
Morons
en el sorteo, solo podía elegir a las personas que se conectaron en la última semana (o mes). Al finalizar la participación una semana (o mes) antes del sorteo, las personas que crearon más de una cuenta tendrían solo una opción (creo). Por supuesto, solo si se ha dado una (y única) oportunidad a todos en primer lugar, como se describe en mi primer comentario. ¿Qué piensas? ¿Me podría estar perdiendo algo? Creo que esto realmente podría funcionar.
John Smith
@johnsmith Si esos son los "Términos" del concurso, debe declararlo así. Correr loterías no es una tarea simple, hay un montón de legalidades involucradas. No hace falta decir que una vez que estos términos son públicos pierde su efectividad. (También me gustaría reiterar que no creo que tenga un problema debido al pequeño incentivo de la relatividad que se ofrece aquí)
Morons
¿Puede esto incluso llamarse una lotería? Es gratis participar. No creo que haya sido ilegal regalar cosas gratis: soy libre de regalar mis cosas a quien quiera, si él / ella está dispuesto a conseguirlas. Si está claramente establecido o no en los términos, eso es otra cosa, por supuesto. Entiendo que todas las reglas deben ser claras.
John Smith
2

He visto soluciones que comprueban las direcciones IP antes. Esto generalmente funciona porque la mayoría de las personas no saben o no pueden molestarse usando proxies. Sin embargo, los usuarios de universidades, corporaciones, cibercafés, etc., donde muchas personas comparten la misma IP pública, se verán afectados negativamente. Demasiados falsos positivos.

Las cookies también se usan en algunas soluciones. Sin embargo, los tramposos sofisticados generalmente pueden evitar eso. Falsos negativos si los tramposos saben cómo.

Yo mismo uso la autenticación móvil donde los usuarios necesitan ingresar un código enviado a su teléfono móvil. Esto evita la gran mayoría de los tramposos, aunque requiere más trabajo de infraestructura.

También puede considerar exigir a los usuarios que inicien sesión con Facebook, etc., lo que aumentaría en gran medida los esfuerzos necesarios para hacer trampa.

Y después de todo, mostrar un banner muy visible en la página de entrada indicando que si se encuentra una entrada doble, todas las entradas del usuario serán anuladas, lo que puede disuadir a algunos tramposos potenciales.

Xeon
fuente
Podría decirse que las cookies son mejores ya que las oficinas corporativas rutinariamente NAT una sola IP pública para toda la oficina. Si alguien va a molestarse en borrar sus cookies solo para registrarse, probablemente esté tratando con un usuario determinado y suficientemente sofisticado como para probar otras cosas también.
msanford
Moverse por las cookies no requiere sofisticación alguna. Simplemente borre sus cookies y vuelva a ir. O instale Web Developer Toolbar o algo así para borrar las cookies individuales.
tdammers
Tienes razón, tdammers, borrar la cookie no es nada difícil para programadores como nosotros. Sin embargo, no todos los usuarios promedio de computadoras saben cómo hacerlo.
Xeon
@ Xeon: es una casilla de verificación en Firefox, IE y Chrome para borrar las cookies cuando se cierra la pestaña.
Ramhound
0

Tienes que vincularlo a algo que es difícil de replicar libremente. El efectivo es bueno. Un mensaje de texto de teléfono celular también es bueno (un código de registro por número de teléfono celular). Por supuesto, asustará a un gran porcentaje de sus suscriptores potenciales. O externalice el problema a un sitio web más grande: use el inicio de sesión de Facebook y deje que Facebook decida quién es real.

ddyer
fuente