it-swarm-eu.dev

Il sistema di petizione elettronica del Parlamento britannico è affidabile?

Negli ultimi giorni ho sentito spesso parlare della petizione per "praticamente" ripetere il referendum sulla Brexit e ho notato che si tratta di una petizione online .

Ho notato che il modulo "firma petizione" richiede solo nome, indirizzo e-mail e codice postale, quindi riceverai un'email per confermare la tua firma.

Questo sistema è sicuro? Qualcuno non può semplicemente creare un bot che riempirà continuamente il modulo (e confermerà l'e-mail) usando ogni volta un indirizzo diverso? Guardando pagina sulla privacy , sembra anche che non abbia nemmeno un sistema captcha e la verifica tramite e-mail è l'unico "sistema" per prevenire i bot.

Ultimo ma non meno importante, non ha un sistema per garantire che il firmatario sia britannico.

52
Matteo Umili

Il sito delle petizioni è puramente un meccanismo per vedere se ci possono essere numeri abbastanza alti da supportare qualcosa e, in tal caso, che qualcosa verrà discusso in Parlamento.

Esistono alcuni assegni e saldi (ad esempio sono stati identificati e rimossi 80.000 voti falsi), ma qui non è necessario un livello elevato di fiducia, poiché nessuna di queste petizioni decide nulla.

Per la rielaborazione del referendum sull'uscita europea, ci sono circa 4 milioni di firmatari e anche con un certo livello di frode, il governo sa già che è qualcosa di cui devono discutere.

In sintesi: si può fidare del livello richiesto a questo scopo? quasi certamente. Ci si può fidare di non avere frodi? No.

78
Rory Alsop

Commenti generali

Puoi essere sicuro al 100% che ogni firma provenga da una persona reale? No. Puoi prendere alcune precauzioni per rendere più difficile imbrogliare? Sì.

Ecco alcune cose che il governo britannico potrebbe fare (non ho idea se lo fanno davvero):

  • Richiede un CAPTCHA riuscito dopo X tentativi dallo stesso IP.
  • Limite di velocità per IP. Certo, cinque persone nella stessa famiglia potrebbero voler iscriversi o 10 persone nella stessa rete aziendale dopo aver parlato a pranzo a pranzo. Ma se ottieni 100 firme in un modello stabile puoi essere abbastanza sicuro che qualcuno stia cercando di gonfiare i numeri.
  • Effettuare la geolocalizzazione dell'IP e correlare con il codice postale inserito. La maggior parte delle persone lo farebbe da casa senza VPN o proxy. Se ottieni il 90% delle firme corrispondenti, puoi essere abbastanza sicuro che la maggior parte di esse sono legittime.
  • Cerca pattern nei dati. Se si verifica uno strano picco nell'iscrizione per due ore e quelle iscrizioni hanno caratteristiche diverse rispetto ad altre, potrebbe essere perché qualcuno ha noleggiato una botnet durante quel periodo di tempo.
  • Quando la petizione raggiunge un limite, scegli una selezione casuale di firmatari e prova a verificarli. Questo potrebbe essere fatto ad es. inviando loro un'e-mail e chiedendo loro di chiamare da un numero di telefono del Regno Unito elencato sul nome utilizzato nella petizione. Questo ti darebbe una stima del limite superiore su quanto grande è la percentuale di firme false.

Un aggressore intelligente con una botnet potrebbe superare queste cose? Forse, ma alza l'asticella.

Argomento di studio

Stu-W collegato a a Python script usato per firmare automaticamente la petizione. Lo script ha una serie di punti deboli che potrebbero essere facilmente usati per filtrare i falsi:

  • Il codice postale è un codice fisso costante nello script (SW1A 0AA). Anche se i singoli utenti lo cambiassero, un numero elevato se le firme dello stesso codice postale in breve tempo sarebbe un omaggio morto.
  • Le e-mail utilizzate sono generate con il modulo Python tempmail , che è solo un wrapper per il servizio temp-mail.r . Quindi filtrare i domini usati da loro farebbe il trucco.
  • Il nome è solo un gruppo di personaggi randomizzati come "ûqv knzõâ".
  • Tutti i post verrebbero dallo stesso indirizzo IP. Quindi basta limitare il limite o filtrare gli IP con più di X firme in Y dal database.
  • Non c'è alcun tentativo di impostare un credibile User-Agent intestazione.

In altre parole, questa sceneggiatura è piuttosto stupida. Anche se potrebbe essere usato per firmare la petizione, ciò non significa che le firme evidentemente false non verranno filtrate in seguito. Solo perché invii non significa che verrai conteggiato.

20
Anders

Non so se è così che si fanno le cose in Gran Bretagna, ma è così che si fanno nei Paesi Bassi ogni volta che viene presentata una petizione al governo:

  • Viene prelevato un campione casuale delle firme;
  • Queste firme sono verificate (penso che chiamino le persone per chiedere se hanno firmato);
  • il rapporto risultante di firme valide: non valide viene quindi applicato all'intera petizione.

Se un numero sufficiente di firme sulla petizione è valido, la petizione deve essere presa in considerazione dal parlamento.

Poiché soglia sulle petizioni nel Regno Unito è 10.000 da prendere in considerazione dal governo e 100.000 da considerare per il dibattito, solo lo 0,3% (considerazione)/2,7% (discussione) di .677.062 firme = dovrebbe essere valido.

15
user2428118

Per lo strumento di governo:

Vedo un punto interessante: c'è una mappa che mostra la distribuzione tra i voti: http://petitionmap.unboxedconsulting.com/?petition=131215 .

Possiamo vedere qui che i voti sono stati fatti in tutto il paese e la distribuzione sembra seguire la densità di popolazione (più voti su Londra, ...). Un robot elaborato avrebbe potuto imitarlo, ma così in fretta? Questo sembra improbabile.

Ciò richiederà comunque di fornire 4 miliardi di indirizzi di posta diversi. La maggior parte dei provider esegue controlli e se si utilizzano uno o due domini di posta che non sono ampiamente utilizzati e protetti dai bot, è ancora possibile rilevare e scartare quei voti.

Inoltre è uno strumento governativo, quindi possono avere un bel po 'di controlli intorno (vietare l'IP proxy rilevando molto dello stesso IP, ...) ma non li conosco.

Quindi penso che questa petizione usando lo strumento del governo sembri affidabile in quanto genera così tanti voti considerando, indirizzi di posta, ripartizione del codice postale sembra difficile da fare nel breve periodo di tempo trascorso dai primi risultati.

EDIT: rispondere ai commenti DW: poiché il PO è vincente se lo strumento del governo è affidabile per quanto riguarda l'unica petizione con 4000000 voti, quello che stavo dicendo in questo caso, è definitivamente affidabile, i voti falsi saranno filtrati abbastanza bene da non sii così rappresentativo.

Ora, se hai chiesto un voto di 10k, è possibile che i voti falsi possano essere troppo rappresentativi per essere affidabili.

3
Walfrat

Non è possibile abbinare il codice postale con la posizione IP, utilizzo Plusnet nel Regno Unito e viene visualizzato come Dundee (diverse centinaia di miglia di distanza) da me quando controllo la mia posizione in base alla posizione. Quindi non può usarlo per controllare.

Allo stesso modo, non hai bisogno di milioni di indirizzi e-mail, solo 1 con molti alias - supponendo che l'indirizzo e-mail sia effettivamente verificato.

Dubito che il sito della petizione sia stato realizzato tenendo conto della verifica delle frodi poiché fino a poco tempo fa le petizioni riguardavano principalmente questioni banali. Probabilmente è solo un semplice modulo Web che utilizza una risposta e-mail e un controllo duplicato per codice postale e nome (più persone potrebbero vivere nello stesso posto)

3
gbjbaanb

Possono verificare il nome e il codice postale rispetto al ruolo elettorale . Quando dicono che sono stati rimossi 80.000 nomi fraudolenti, mi aspetto che siano quelli che non corrispondono (non lo so per certo).

Tuttavia, questo è imperfetto perché molto di il ruolo elettorale è pubblico.

2
paj28

Mentre la risposta sarebbe "no", in questo caso non importa. Tutto ciò che è, è in "indicatore". Non ha bisogno di essere attendibile per essere "guardato".

Se qualcuno dovesse votare su Internet, questo sistema sarebbe una pessima idea da usare.

2
John Keates

Non devi considerare solo la sicurezza tecnica. Nessun sistema di voto online è un voto segreto; non c'è modo di eliminare la pressione sociale per votare un modo particolare. Un membro dominante della famiglia può costringere gli altri membri della famiglia a firmare o semplicemente usare i loro indirizzi e-mail per farlo da solo.

1
Michael Kay

Non puoi renderlo a prova di errore, ma puoi aumentare la quantità di parametri da tenere in considerazione in modo che la percentuale massima di cheat diventi statisticamente insignificante.

Tuttavia, vivo in Francia, sono stato in Galles una volta circa una settimana o giù di lì in tutta la mia vita, e ho appena firmato la petizione come un londinese che vive a 1 Jamaica St. Il mio browser non ha il permesso di usare la geolocalizzazione ma non l'ho fatto utilizzare qualsiasi VPN o proxy in modo che io possa essere individuato. Con una o due ulteriori precauzioni, avrei potuto essere considerato un londinese pienamente legittimo, ma sono solo un individuo tra le nostre specie di buchi.

L'affidabilità delle petizioni dipende dalle considerazioni statistiche e dalla definizione di affidabilità.

0
user2189