Security 在线测试安全措施
我正在为一个客户端开发一个特性,在这个特性中,用户自愿在线参加一个重要的测试。考试很难,用户会有很强的动力做好(想想SAT或GRE等)。。。因此,作弊的动机也很高。显然,有第三方服务,其中一个人通过网络摄像头虚拟监控考生,但他们真的很昂贵,我们没有足够的预算。我们仍然需要让用户尽可能难以玩这个系统。我们怀疑他们可能尝试的一些事情是:Security 在线测试安全措施,security,authentication,Security,Authentication,我正在为一个客户端开发一个特性,在这个特性中,用户自愿在线参加一个重要的测试。考试很难,用户会有很强的动力做好(想想SAT或GRE等)。。。因此,作弊的动机也很高。显然,有第三方服务,其中一个人通过网络摄像头虚拟监控考生,但他们真的很昂贵,我们没有足够的预算。我们仍然需要让用户尽可能难以玩这个系统。我们怀疑他们可能尝试的一些事情是: 让其他人为他们参加考试(替补击球手) 以不同的模式多次参加考试以进行练习 并获得不公平的优势 与朋友一起参加考试或与朋友接触时参加考试 告诉他们答案 问题的顺序
- 让其他人为他们参加考试(替补击球手)
- 以不同的模式多次参加考试以进行练习 并获得不公平的优势
- 与朋友一起参加考试或与朋友接触时参加考试 告诉他们答案
- 要求用户的设备具有网络摄像头,我们将激活该摄像头,并在测试过程中记录/拍摄用户(当然,用户同意)
- 要求用户验证任意银行存款金额(可能通过PayPal)。没有什么可以阻止他们开设多个银行账户,但至少这是一个大麻烦
- 非常可怕的使用条款,如果用户被发现作弊,就会威胁到法律诉讼
澄清:我们意识到,如果有足够的资源和决心,任何安全系统最终都可能被击败。这个问题的目的不是要找到一个神奇无比的解决方案,而是想办法提高赌注,让大多数用户不值得作弊。本着这种精神,我更喜欢回答那些能做的事情而不是不能做的事情。正如你所知,作弊的方式有很多种。你的目标是尽可能地限制作弊的可能性。一直是一个热门话题
- 替补击球手:
- 用户验证:
一台计算机可以用来跟踪机器,看看是否在使用同一台计算机。虽然这是有正当理由的,但也可以用于标记测试以供进一步审查。evercookie的一种变体是删除带有随机值的文件,或设置带有随机值的注册表项以“标记”该机器。正如您所知,作弊的方式很多。你的目标是尽可能地限制作弊的可能性。一直是一个热门话题
- 替补击球手:
- 用户验证:
一台计算机可以用来跟踪机器,看看是否在使用同一台计算机。虽然这是有正当理由的,但也可以用于标记测试以供进一步审查。evercookie的一个变体是删除一个带有随机值的文件,或者设置一个带有随机值的注册表项来“标记”这台机器。我认为古老的格言“上锁的门只能让诚实的人呆在外面”在这里起了作用——作为一个曾经管理在线测试系统的人,我可以告诉你