Regístrate y se parte de esta comunidad, toma 10 segundos!
^
Bug en Noticas Hacker (tokyo03.blogspot.com)
45 puntos, entregado por zedtrix hace 2 años | 7 comentarios
Registrate para responder a este mensaje, toma 10 segundos
^
1 puntos, entregado por DFect hace 2 años [-]

Como dice el post, zedtrix enseguida me informo del comportamiento y le permiti exponerlo de esta manera tanto para recibir retroalimentación de como resolverlo y para que pueda explicarlo en su conferencia.

Estoy tratando de pensar como arreglarlo y lo primero que se me ocurre es hacer que cada usuario tenga un token unico, aleatorio y que pueda cambiar cada X tiempo para poder votar. Que otras soluciones existen para este tipo de problemas?

Responder
^
1 puntos, entregado por nRike hace 2 años [-]

Si, con un token: http://webpy.org/cookbook/csrf .
-
Otra opción es implementar OAuth y que comenten utilizando los keys de Twitter/Facebook

Responder
^
1 puntos, entregado por JCdelValle hace 2 años [-]

Voto por el token, aunque un OAuth también serviria pero me gusta más la idea del token.

Responder
^
1 puntos, entregado por fael hace 2 años [-]

sí, el hash para votar tiene que estar, al menos, en función del id de la noticia y el id del usuario. idealmente, como dices, que también esté en función del día.

también sería bueno que el método fuera POST, zedtrix le pone un iframe pero podría funcionar igual de bien un <img>.

y ya que estamos en esto, también NH es propenso a CSRF-- es decir, puedo postear una noticia o un comentario haciéndome pasar por ti.

Responder
^
1 puntos, entregado por zedtrix hace 2 años [-]

tienes toda la razón con el CSRF para postear, no me di cuenta si no también habría programado el ejemplo, en cuanto a lo de los botos creo que podrías hacer algo menos complejo y igual funcionaria, podrías generar un hash con el id del post, el id del usuario y una semilla(una palabra cualquiera que sea desconocida) o con algún id o hash contraseña del usuario, así lograrías tener un identificador único por post por usuario, y en cuanto a lo del Post, creo que en ese caso seria un poco mas difícil, seria bueno un Captcha aun que muy molesto, dejame ver que se me ocurre y lo posteo.

Responder
^
1 puntos, entregado por fael hace 2 años [-]

ah claro, todo el hash con un salt. me refiero a que hay 3 puntos críticos aquí:

1. votos, ya explicado, el hash debe ser algo así como user_id + post_id + date(dmY) con esto te aseguras que cada día sea un hash diferente
2. comentarios, casi igual: user_id + parent_id + date(dmY)
3. post nuevo: user_id + date(dmY)

Responder
^
1 puntos, entregado por nRike hace 2 años * [-]

Aquí puedes revisar evitar CSRF desde el cookbook de Web.py: http://webpy.org/cookbook/csrf .

Responder