Flauw – maar leerzaam

 Gepubliceerd door om 07:00  Algemeen
nov 302007
 
geen upload - Klik voor grotere versie

Gisterenavond was ik een paar uur niet online. Komt wel eens vaker voor gelukkig, maar in die paar uur was er iemand die het nodig vond om aan te tonen dat de poll-plugin van Nucleus, die ik o.a. hier gebruikt heb, nogal zwak beveiligd is. Vanwege de keuze van de maker voor een nogal compacte opslag van de data wordt er niet bijgehouden van wie elke stem afkomstig is, alleen het aantal stemmen. Of iemand al gestemd heeft wordt uitsluitend via een cookie op de computer van die persoon bijgehouden. Dat betekent dat als je zorgt dat je het resultaat instuurt via een script waarbij er geen cookie wordt opgeslagen je onbeperkt kunt stemmen en heel snel achter elkaar kunt stemmen.
Veiliger was geweest als de poll-plugin in ieder geval ook het IP-nummer van de stemmers in de database bij zou houden. Dan kan het script namelijk (ook) op basis daarvan kijken of je een tweede keer wilt stemmen.

Is natuurlijk pas een probleem als iemand het de moeite waard vind om een poll te verzieken. En gisterenavond had ik zo iemand op bezoek. Flauw, kan gebeuren, live goes on.

Leerzaam was overigens dat ik om de score te herstellen tot dat wat ik een paar uur eerder had zien staan moest zien te ontdekken hoe de informatie over de vragen én het aantal reacties in deze string opgeslagen was:
“YTo2OntzOjY6IkhELURWRCI7aToxO3M6NzoiQmx1LXJheSI7czoxOi
IwIjtzOjM1OiJDb21iaW5hdGllc3BlbGVyIChIRC1EVkQgKyBCbHUtc
mF5KSI7aTozO3M6MTY6IkVudGVydGFpbm1lbnQgUEMiO2k6MTMxO3M6
MjU6IklrIHpvdSBoZXQgbm9nIG5pZXQgd2V0ZW4iO2k6NjtzOjE1OiJ
JayBob2VmIGdlZW4gSEQiO2k6NTt9″

Ik weet niet of ik de moeite ga nemen om de plugin aan te passen zodat voortaan IP-nummers worden bijgehouden, maar ik heb de poll voor nu in ieder geval maar even dichtgegooid.

Gevolgen voor Google Maps experiment
Vervelender vond ik dat dit ook gevolgen leek te moeten hebben voor het Google Map experiment. Lees verder….

Deel dit bericht: