[PHP] Welke is de beste controle bij een enquête

Als je een vaststaande doelgroep hebt kun je iedereen een unieke sleutel (of url) geven die maar 1 keer gebruikt kan worden.

Elke controle is te omzeilen. Op IP is nogal lomp, daarmee sluit je bijvoorbeeld heel philips uit als er een vanaf het werk dat ding invult. Een cookie is prima mits je de naam niet te obvious maakt. Eventueel ook een controle op email adres doen, dan ben je wel ongeveer klaar.

Ik dacht nog aan het opslaan van een sessie-id maar dit is ook vaak beperkt in tijd (vb vaak <30 minuten; in te stellen in je serverconfig)

moozzuzz schreef op woensdag 07 juli 2010 @ 16:42:
Ik dacht nog aan het opslaan van een sessie-id maar dit is ook vaak beperkt in tijd (vb vaak <30 minuten; in te stellen in je serverconfig)

Je weet dat sessie-id's doorgaans ook in cookies opgeslagen worden?

imp4ct schreef op woensdag 07 juli 2010 @ 16:36:
[...]


Wel dat IP geen sluitende oplossing is, dat weet ik. E-mail is geen optie, vermits we totaal geen persoonlijke info van de persoon die de enquête invult willen hebben. Zal dan misschien toch maar een cookie inbouwen.

Je kan het e-mail adres natuurlijk op een dusdanige manier opslaan dat het niet te linken is naar de betreffende enquête resultaten. Of beter nog: je slaat alleen een hash van het e-mail adres op.

Je kan een pc uniek identificeren door een fingerprint te nemen van de geinstalleerde software, browser versie, e.d. te nemen. (naam van de methodiek even kwijt). Dan beperk je het valsspelen al tot het aantal pc's dat iemand tot zijn beschikking heeft.

Orion84 schreef op woensdag 07 juli 2010 @ 16:44:
Je kan het e-mail adres natuurlijk op een dusdanige manier opslaan dat het niet te linken is naar de betreffende enquête resultaten. Of beter nog: je slaat alleen een hash van het e-mail adres op.

Dit inderdaad. Een tabel met daarin enkel de (hashes van) email adressen die zo'n formuliertje ingevuld hebben is niet zo'n gekke oplossing.

(Has van) e-mailadressen opslaan kan voldoende zijn, afhankelijk van je doel/doelgroep en hoeveel je verwacht dat mensen het dubbel gaan invullen.
Ik heb zelf bijvoorbeeld 2 e-mailadressen van mijn universiteit (naam en studentnummer), 1 hoofdadres, 2 van een ander domein (.nl en .org) en nog 2 die ik minder gebruik maar wel toegang tot heb. Dat zijn al 7 adressen waarmee ik de enquete kan invullen en als ik zou willen kan ik zo nog 100 adressen aanmaken.

Maar nogmaals: het hangt af van je doel. Gaat het om de vraag "wat is je lievelingseten?" of "de gemeente wil een groot duur nieuw gebouw betalen met belastinggeld. Wat vind je hiervan?"

Tukk schreef op woensdag 07 juli 2010 @ 16:46:
Je kan een pc uniek identificeren door een fingerprint te nemen van de geinstalleerde software, browser versie, e.d. te nemen. (naam van de methodiek even kwijt). Dan beperk je het valsspelen al tot het aantal pc's dat iemand tot zijn beschikking heeft.

... of het aantal browsers.

Hopeloos complex en nogal foutgevoelig, lijkt me. Er zijn honderden pc's die vrijwel exact hetzelfde zijn ingericht. Denk bijvoorbeeld aan voorgeïnstalleerde pc's van grote fabrikanten, die hebben uit de fabriek exact dezelfde software en hetzelfde soort updateproces.

doeternietoe schreef op donderdag 08 juli 2010 @ 11:47:
[...]

... of het aantal browsers.

Hopeloos complex en nogal foutgevoelig, lijkt me. Er zijn honderden pc's die vrijwel exact hetzelfde zijn ingericht. Denk bijvoorbeeld aan voorgeïnstalleerde pc's van grote fabrikanten, die hebben uit de fabriek exact dezelfde software en hetzelfde soort updateproces.

Dat blijkt nogal mee te vallen. Ik heb voor je gezocht, er is een site waarop je kan zien of je pc uniek te identificeren is, of niet. Maar ik kan hem niet voor je vinden.

En bovendien zijn er veel mensen die een computer + browser delen. Met elke aan de computer + browser gebonden identificatie wordt het onmogelijk om de enquete twee keer in te vullen, terwijl dat wel legitiem kan zijn.

Tukk schreef op donderdag 08 juli 2010 @ 11:56:
Ik heb voor je gezocht, er is een site waarop je kan zien of je pc uniek te identificeren is, of niet. Maar ik kan hem niet voor je vinden.

http://panopticlick.eff.org

Een captcha is de beste oplossing denk ik. Mensen hebben vaak geen zin om de enquete 10 keer in te vullen als ze bijvoorbeeld 2 captcha's (aan het begin en aan het eind bijv.) in moeten vullen. Echter hangt het weer van de doelgroep af, hoe groot de drempel mag zijn om aan de enquete deel te nemen.

Vergeet alleen niet dat je bijv. bij GMail elke combinatie kan maken van je mailadres met punten (user.name@gmail.com is t zelfde als us.er.na.me@gmail.com) terwijl die dus wel een andere hash oplevert. Je kunt er ook nog een +<iets> achter plakken (bijv. username+enquete1@gmail.com) waardoor het checken op uniek e-mailadres ook een beetje loos wordt. Met die fingerprint kom je denk ik nog t verst...

rutgerw schreef op donderdag 08 juli 2010 @ 11:56:
En bovendien zijn er veel mensen die een computer + browser delen. Met elke aan de computer + browser gebonden identificatie wordt het onmogelijk om de enquete twee keer in te vullen, terwijl dat wel legitiem kan zijn.

Een cookie geeft hetzelfde probleem.

PowerSp00n schreef op donderdag 08 juli 2010 @ 12:02:
[...]


http://panopticlick.eff.org

Aardig betrouwbaar: Your browser fingerprint appears to be unique among the 1,077,543 tested so far.

Enige nadeel is dat als ik een nieuwe font/browserplugin installeer op m'n systeem, ik gewoon de enquete weer opnieuw kan invullen.

Tukk schreef op donderdag 08 juli 2010 @ 12:58:
[...]

Een cookie geeft hetzelfde probleem.

Niet noodzakelijk als die gebruikers een eigen account op die computer hebben

PowerSp00n schreef op donderdag 08 juli 2010 @ 12:02:
[...]


http://panopticlick.eff.org

En bedankt, die kon ik niet meer vinden.

Gersompie schreef op donderdag 08 juli 2010 @ 13:03:
[...]

Aardig betrouwbaar: Your browser fingerprint appears to be unique among the 1,077,543 tested so far.

Enige nadeel is dat als ik een nieuwe font/browserplugin installeer op m'n systeem, ik gewoon de enquete weer opnieuw kan invullen.

Dat noem ik toch wel redelijk fout ongevoelig, helemaal als je niet verteld hoe je controleert dat iemand het al eens heeft ingevuld. De kans is dermate klein, dat je statistiek op het aantal deelnemers meer fouten bevat, vermoed ik zo.

[ Voor 14% gewijzigd door Tukk op 08-07-2010 13:06 ]

Tukk schreef op donderdag 08 juli 2010 @ 13:06:
[...]

En bedankt, die kon ik niet meer vinden.


[...]

Dat noem ik toch wel redelijk fout ongevoelig, helemaal als je niet verteld hoe je controleert dat iemand het al eens heeft ingevuld. De kans is dermate klein, dat je statistiek op het aantal deelnemers meer fouten bevat, vermoed ik zo.

Maarja.. ik ben dan wel een chrome gebruiker met een abn amro identifier 2 plugin en een aantal unieke fonts. Een gemiddelde internet explorer gebruiker zal niet uniek zijn toch?

Tukk schreef op donderdag 08 juli 2010 @ 13:06:
[...]

En bedankt, die kon ik niet meer vinden.


[...]

Dat noem ik toch wel redelijk fout ongevoelig, helemaal als je niet verteld hoe je controleert dat iemand het al eens heeft ingevuld. De kans is dermate klein, dat je statistiek op het aantal deelnemers meer fouten bevat, vermoed ik zo.

Wat ook een probleem is dat als je bijvoorbeeld een bedrijf onderzoekt waarbij ze gebruik maken van dat ene systeem waarbij iedereen op elke computer kan inloggen met dezelfde gebruikersnaam en wachtwoord (god hoe heet dat ookalweer )
Vaak zijn de browsers op die computers allemaal identiek, (Internet Explorer..) en worden ze tegelijk up to date gehouden, waardoor er maar 1 iemand de enquete kan maken van het hele bedrijf.
Dat is volgens mij het grootste nadeel van fingerprinting, ik raad je daarom maar aan om cookies te gebruiken, aangezien de meeste mensen toch niet weten wat het zijn, en als ze dat wel weten dan moet je maar een systeem gebruiken waarbij mensen een account moeten aanmaken..

Ik zou een combinatie van gebruiken en hier een hitscore geven. > XX punten: geen geldige invoer.

bvdbijl schreef op donderdag 08 juli 2010 @ 14:11:
[...]
(god hoe heet dat ookalweer )

Roaming profiles (als onderdeel van Active Directory)

[ Voor 51% gewijzigd door r0b op 08-07-2010 14:22 ]