Like-Button manipulierbar?

[TheRockMan]

Hallo zusammen

ich als Programmier-Unkundiger hab da mal ne Frage an Euch Experten hier. Wenn ein "Like"-Button zeitlich gesteuert ist (in diesem Falle darf man von der selben IP nur einmal pro Stunde "liken"), kann jemand das irgendwie umgehen, um etwa ein Voting zu manipulieren?

Die IP per Proxy zu verändern ist mir bekannt. Aber um viele gültige Klicks zu generieren wären dafür ja ne Menge Proxys nötig, oder? Zumal es nicht reicht, die betreffende Website nur aufzurufen (z. B. mit ReloadEvery - Firefox-AddOn) sondern eben auch der "Like"-Button geklickt werden muß. Beim Drüberhalten der Maus (über den Button) ist keine URL unten in der Stausleite zu sehen.

Daß mich da bitte keiner falsch versteht: Ich will diese Abstimmung NICHT selber manipulieren. Ich möchte nur wissen, wie ein Gauner vorgeht - und am besten noch, wie man ihn erwischen kann.

 

[theHacker]

Lose4SocialMedia?

 

[TheRockMan]

eher unwahrscheinlich. geht auch nicht um FaceBook. man hat als "Ersteller"/Besitzer des Buttons keine Kontrolle darüber, WER den Button geklickt hat, was ja Grundvoraussetzung für eine Vergütung (z. B. in Lose) wäre. Der Webbi kann das sicher kontrollieren, woher die Klicks kamen (nehm ich jedenfalls an). Ob er auch dazu gewillt ist, steht auf nem anderen Blatt.

 

[flxwa33]

Wenn du ein Loginsystem hast, einfach 1 Abstimmung je 1 Account. Es werden sich sicher nicht viele die Mühe machen mehrere Accounts zu erstellen. Du könntest auch eine schnelle Regristrierung per Mail vor der Abstimmung verlangen.

Manipulieren lässt sich das zwar trotzdem noch, aber nur in recht geringer Anzahl, weils einfach zu aufwendig ist.

 

[ice-breaker]

mittel Click-Jacking bekommst du viele Likes von Personen, die das gar nicht wollten.

 

[an-ti]

Möglich
Man manipuliert den Button zB mit SQL injection oder Programmierst einen Webserver der die IP bei jedem Klick ändert

 

[DasGuru]

Möglich
Man manipuliert den Button zB mit SQL injection oder Programmierst einen Webserver der die IP bei jedem Klick ändert

totaler schmarrn ...

Außer du speicherst mySQL-Tabellen in deinem Button anstatt auf dem SQL-Server und hast nen auto-regger-script damit du dich jedes mal neu bei Facebook anmeldest wenn sich deine IP ändert

im Ernst, schonmal versucht ein SQL-Kommentar in HTML einzufügen ?

um auf die Frage im Post #1 zurückzukommen...
ich denke Clickjacking war das Stichwort
Außerdem bietet Facebook eine API an mit der man sicherlich auch ein nettes script basteln könnte.
Ich hoffe aber, und denke auch, das Facebook serverseitige Überprüfungen anstellt

 

[TheRockMan]

Ganz wichtig: Es geht NICHT um FaceBook! Es geht um ein Voting-System, bei dem die Klicks gezählt werden (und der mit den meisten Klicks gewinnt).

Den Link dazu stell ich hier nicht rein, weil das ja Werbung wäre (wenn auch nicht für mich selbst, denn ich hab selber da nix im Rennen). Verrate ich aber gern auf Anfrage.

Der Button gehört einer Seite, wo der Manipulateur ziemlich sicher keinen Zugriff auf die Datenbank hat (sonst wäre er ein Hacker, vor dem man zittern müßte).

Von allen Vorschlägen halte ich Clikjacking bislang für das Wahrscheinlichste. Aber wie gesagt bin ich Laie, was sowas angeht (und das will ich eigentlich auch gar nicht ändern, will nur nen Gauner zur Strecke bringen und nicht selbst gaunern).

 

[partytiger]

mittel Click-Jacking bekommst du viele Likes von Personen, die das gar nicht wollten.

Das ist ja bei Facebook ja momentan ein Riesen-Thema: Da geht es schon ums Image bei FB. Deshalb denk ich, dass Zuckerberg und Co alles dransetzen, das möglichst bald in den Griff zu bekommen. Bei anderen Applikationen, wo ein "Like" im Spiel ist, wird der Sicherheits-Patch sicher noch länger dauern.

 

[ebay_junky]

Wo ein Wille ist, ist auch ein Gebüsch...

Mit ein wenig Programmieraufwand ist das sicherlich machbar.
Neue IP kann man über einen Routerreconnect alle paar Sekunden beziehen (abhängig vom ISP), und den Buttonclick kann man auch simulieren (die entsprechende Nachricht(en) an den Server schicken).

Schau Dir mal den HTML-Code an, da siehst Du dann die Aktion(en), die bei dem Buttonclick ausgelöst werden.
Diese Automatisierungsmöglichkeiten sind auch der Grund, warum Dir immer öfter Captchas begegnen.