Організація голосування в Інтернет та безпека

Організація голосування в Інтернет та безпека

голосування
Застосування унікального коду з графічного зображенняЗазначений підхід напевно відомий багатьом процесом реєстрації поштової скриньки на mail.ru. Пропонований варіант не дозволяє зловмисникам автоматизувати процес накрутки голосів, проте ніяк не забороняє одній людині проводити процедуру голосування багаторазово. При використанні цього способу необхідно реально розраховувати загальну кількість відвідувачів та оцінювати потік тих, хто голосує. У деяких випадках, коли голосування має зайняти хвилини, застосування такого варіанта може бути найоптимальнішим вирішенням проблеми накруток. Для системи голосування із введенням унікального коду можна розробити додатковий захисний механізм, який гарантуватиме, що процедура голосування займе щонайменше запрограмованого часового проміжку (наприклад, 30 секунд).

Застосування для голосування спеціально розробленої програми, що завантажується з сайтуВаріант з використанням спеціальних програм для тих, хто голосує, так само як і ситуація з поштовими скриньками, є вельми незручним способом для користувачів. Перша проблема полягає в тому, що програма просто не буде завантажена з сайту, на якому проводиться голосування (практика показує, що більше половини відвідувачів не завантажують програму). Причин цьому безліч: — користувач може не побажати скачувати невідому йому програму для подальшого запуску на локальному комп'ютері, побоюючись вірусів і програм-троянів; — браузер користувача може мати такий рівень безпеки, який забороняє завантаження програм з Інтернету; — реалізація корпоративної безпекової політики організації, в якій працює охочий проголосувати, не дозволяєзавантажувати exe-модулі з Інтернет. Друга проблема полягає у збільшенні трафіку за рахунок необхідності завантаження програми. При використанні послуг хостинг-провайдера власникам інтернет-ресурсу необхідно попередньо оцінити обсяги вихідного та вхідного трафіку в період проведення голосування для ухвалення рішення про можливість застосування розглянутого способу. то зловмисник може отримати програму вивчення і визначити спосіб захисту, який може бути заснований на двох моментах: — збереження даних про проведене голосування в секретну область комп'ютера для перевірки її наявності в момент голосування; — визначення та використання при передачі даних про голосування індивідуальних особливостей налаштування системи та конфігурації обладнання голосуючого для визначення фактів повторного голосування. :).

4. Вирішення питань, пов'язаних із відображенням інформації про поточний стан голосуванняЩоб пояснити суть проблеми, розглянемо конкретну ситуацію. Якщо голосуючий бачить до початку процедури голосування, що кількість тих, хто проголосував, було, наприклад, 100 і після голосування також залишилося 100, у нього виникає резонне питання про те, що він зробив не так, чи працює взагалі процедура голосування? Для тих, хто намагається накрутити голоси, інформація про точну кількість голосів, та ще й з розподілом за кожен з наявних варіантів, може бути використана при аналізі можливості обходу системизахисту, а також вироблення стратегії вирішення поставленої перед ними задачі. У зв'язку з цим пропонується дуже продумано підходити до відображення даних про голосування (не видавати інформацію про кількість тих, хто проголосував, а тільки пропонувати оцінити графік з відсотковим співвідношенням голосів) і не інформувати голосуючих про спробах невдалого голосування. При використанні варіанта роботи з cookie можна запропонувати видачу попереджувальної інформації тільки в тих випадках, якщо у голосуючого не включено дозвіл роботи з cookie. Це повідомлення може бути видане вже при завантаженні сторінки, що передує перехід до голосування, і бути своєрідною перешкодою для початку голосування.

ВисновокЗа необхідності проведення голосування з використанням Інтернету організатори та розробники повинні реально оцінювати, наскільки можливі та складні моменти, пов'язані зі спробами фальсифікації результатів. Підвищити безпеку схеми голосування можна, здійснивши кроки, які перешкоджають вирішенню завдань автоматизації процедури голосування зловмисниками, а також одночасного запуску кількох сеансів виконання паралельних процесів голосування на комп'ютері голосуючого. Механізм проведення голосування має обмежувати зловмисникам можливість аналізу результатів своєї деструктивної діяльності. Крім того, спільно з фіксацією даних голосування реалізація повинна передбачати збирання та накопичення максимальної інформації про голосуючого (для проведення аналізу). У випадках, коли інтернет-ресурс є об'єктом хостинг-послуг, необхідно спробувати попередньо розрахувати показники навантаження на канал та обладнання хостинг-провайдера під час проведення інтернет-голосування, щоб можливі проблеми, пов'язані з цими питаннями, були вирішені.Для стандартних випадків проведення голосувань розробникам немає необхідності впровадження в процедури криптографічних схем захисту, оскільки ніяких умов для їх грамотного застосування немає, і дійсний ефект від їх використання нульовий. Такі методи результативні і знаходять дійсне застосування у електронних випадках голосування, проведених державними виборними органами. Однак це вже зовсім інша історія. Система інтернет-голосування має будуватися для необхідності її перманентного розвитку. Під час розробки голосування з використанням Інтернету слід передбачати те, що за його результатами необхідно проводити всебічний аналіз даних. Аргументовані висновки мають бути підставою для подальшого покращення та розвитку системи — не лише з погляду безпеки від фальсифікації, а й для вирішення елементарних питань оптимізації та зручності голосуючих.