Am 2004-07-26 16:50 hat detlef_mue geschrieben:

Die Umfrage macht Probleme. Grund ... Mehrfachabstimmungen sind leider recht einfach möglich. Das ist von der Systematik des Internets her begründet.
Ich arbeite daran, ob man das zugrundeliegende Modul erweitern kann und mit einiger Rafinesse zu einem sicheren Umfrageverfahren kommen kann.

Bei dieser Gelegenheit ... ist hier jemand mit PHP-Kenntnissen, der Lust an, sowas zu realisieren ? Ich kann nämlich kein PHP.

Ich kann.
Aber die Möglichkeiten sind da ziemlich begrenzt. Am sichersten wäre, die Benutzer über eine E-Mail Adresse zu registrieren. Kaum jemand legt sich extra neue Adressen an, um eine (wenig bedeutende) Umfrage zu verfälschen. Andererseits ist es für Leute mit eigener Domain ohne Aufwand möglich, hunderte von Adresse zu erfinden, die dann alle bei dem einen Benutzer ankommen.
Und es macht den Umgang mit der Abstimmung für den Benutzer aufwendiger und außerdem wollen viele Ihre Adresse nicht so einfach mitteilen.

Die gängige Technik ist, die IP Adresse zu merken. Das ist aber leicht ausgehebeln, indem man sich neu einwählt.

Eine noch einfachere Methode ist, im Browser des Abstimmers ein Cookie zu setzen, das so anzeigt, daß mit diesem Browser schon abgestimmt wurde. Das ist aber nutzlos bei denen, die Cookies nicht setzen lassen, verschiedene Browser einsetzen oder das Cookie löschen.
Interessanter wird die Variante, wenn der Benutzer gar nicht merkt, daß er als Mehrfachabstimmer erkannt wurde. Denn dann kommt er auch nicht auf die Idee, daß er etwas ändern muss, um wieder abstimmen zu können. Einfach immer: "Ihre Stimme wurde gezählt." ausgeben, aber nur beim ersten mal wirklich zählen.

Außerdem muss man bedenken, daß sich viele durch Sicherheitsmaßnahmen herausgefordert fühlen. Wenn man's knacken kann, dann muß man erst recht was reinschmieren.
Zugleich mindert das auch die Chancengleichkeit: Wenn jeder mehrfach abstimmen kann, hebt sich das eher gegenseitig auf, als wenn nur einzelne mehrfach abstimmen können.

Wenn Du ein halbwegs vernünftiges Publikum hast, sollte es Deinen Hinweis, daß jeder nur einmal abstimmen sollte, akzeptieren. Ansonsten kannst Du wirklich wenig machen.

Wir hatten hier auf der Website mal eine Umfrage: "Nenne drei Adjektive zu Stoiber." Da war es auch möglich mehrfach abzustimmen und an immer wieder kehrenden Schreibfehlern war das auch ganz gut zu erkennen. Die Auswertung ist hier zufinden:
Auswertung der Umfrage: Drei Adjektive zu Stoiber

Sorry, daß es gedauert hat mit der Antwort. Aber im Moment tut sich so viel ...

Zur Sache ... Cookies bringt nichts, da man sie löschen kann; IP-Adresse testen genauso, da diese bei üblichen Verfahren dynamisch zugeteilt werden. Man hat beim Einloggen immer eine andere. Ist nur ein Anhaltspunkt für Netzwerke, die haben meist eine feste IP.

Konkreter Ansatzpunkt ist der Domainname (... des providers) und der Knoten des Providers, wo der Benutzer einloggt. Dieser ist meist eindeutig feststellbar. Das ist eine feste Größe.

Eine weitere gute Möglichkeit wäre ein Portscan des Rechners, der abstimmen will.

Man kann markante Merkmale ermitteln, in einer verschlüsselten Datenbanktabelle speichern und bei jeder beabsichtigen Stimmabgabe testen, ob dieser Rechner schon abgestimmt hat.

Nach Beenden der Abstimmung wird die Tabelle mit den Merkmalen gelöscht; man braucht sie ja nicht mehr.

Interessant ist, eine Kombination aus den angesprochenen Daten. Damit läßt sich mit einiger Wahrscheinlichkeit eine Mehrfachabstimmung verhindern.