/dev/null - Overig

Stemmen op basis van mailadres

22-10-2022, 16:01 door Briolet, 31 reacties
Laatst bijgewerkt: 22-10-2022, 16:01
Ik las vandaag dat er gefraudeerd wordt met het stemmen bij de NS Publieksprijs. Blijkbaar kon je gewoon een mailtje sturen en als de afzender een uniek mailadres had, dan gold het als stem. En als je er geen strenge spoofingcontrole op zet, dan is manipulatie heel simpel door steeds een ander afzend adres te gebruiken.

Ik zat me al af te vragen waarom ze het systeem niet zo ingericht was dat er eerst een bevestigingsmail terug gestuurd wordt en de bevestiging hiervan pas als stem geldt. Maar blijkbaar is dit inmiddels ook geïmplementeerd als ik naar de update van de fraudemelding kijk.

https://www.destentor.nl/politiek/stemming-ns-publieksprijs-aangepast-en-hervat-na-signalen-van-manipulatie~a66e878f/

Het artikel geeft echter geen technsche info over de inspanning die gedaan is om spoofing te voorkomen. Als je b.v. DMARC gebruikt en alle fails direct verwerpt, kun je een mailadres van kamerleden alleen misbruiken door ook vanaf het domein van een kamerlid te versturen. Hierna kan de kamer in het log van hun maiserver achterhalen welk account deze gespoofde mailtjes verstuurd heeft.

Ik ben benieuwd of dit nog een politiek staartje gaat krijgen.
Reacties (31)
22-10-2022, 17:40 door Anoniem
Door Briolet: Het artikel geeft echter geen technsche info over de inspanning die gedaan is om spoofing te voorkomen.
Ze sturen een e-mail terug die bevestigd moet worden. Ook de eerder uitgebrachte stemmen worden zo alsnog bevestigd, of ze vervallen. Dat is misschien geen DMARC maar wel een maatregel tegen spoofing, en die info geeft het artikel.
22-10-2022, 19:05 door Anoniem
Toen ik stemde heb ik nooit een bevestiging per email gehad.
Ik snap verder ook niet de ophef dat een paar grapjassen de email van een politicus hebben gebruikt. Ik kan nu ook een willekeurig kamerlid inschrijven voor de Albert Heijn nieuwsbrief...
22-10-2022, 22:56 door Anoniem
Door Anoniem:
Door Briolet: Het artikel geeft echter geen technsche info over de inspanning die gedaan is om spoofing te voorkomen.
Ze sturen een e-mail terug die bevestigd moet worden. Ook de eerder uitgebrachte stemmen worden zo alsnog bevestigd, of ze vervallen. Dat is misschien geen DMARC maar wel een maatregel tegen spoofing, en die info geeft het artikel.

Hide my e-mail is de standaard mail relay van iPhone daar mee kan je net zo veel uniek anonieme afzet adressen gebruiken als je wil en alle reply worden door de relay naar je inbox geforward. Waardoor je elke stem kan bevestigen.

https://support.apple.com/nl-nl/guide/iphone/iphf277f837e/ios
23-10-2022, 16:52 door Anoniem
Door Anoniem:
Door Briolet: Het artikel geeft echter geen technsche info over de inspanning die gedaan is om spoofing te voorkomen.
Ze sturen een e-mail terug die bevestigd moet worden. Ook de eerder uitgebrachte stemmen worden zo alsnog bevestigd, of ze vervallen. Dat is misschien geen DMARC maar wel een maatregel tegen spoofing, en die info geeft het artikel.

Inderdaad. Je hoeft geen DMARC , maar op zijn minst een bevestigingsmail gelinkt aan een reeds open sessie id in je browser binnen 10 minuten om de stem te bevestigen.

Die site van de NS is geprogrammeerd door iemand die nog in 1995 is blijven steken qua security.

Ik heb zelf geen email meer. Al Jaaaaaren. Ik gebruik apps als Signal ter vervanging van Email. Ik heb ook geen fax meer dus waarom email? E-mail is iets uit de begin jaren 90 (technisch gezien nog ouder)

Het is net als GSM2 en kan dus weg.
24-10-2022, 15:28 door Briolet
Door Anoniem: Hide my e-mail is de standaard mail relay van iPhone daar mee kan je net zo veel uniek anonieme afzet adressen gebruiken als je wil en alle reply worden door de relay naar je inbox geforward. Waardoor je elke stem kan bevestigen.

Je geeft een goed voorbeeld waaruit blijkt dat het systeem nog steeds erg fraudegevoelig is. Ook eenvoudig te gebruiken door het grote publiek en niet alleen door mensen met een eigen mailserver.

Dan blijft dat andere punt dat er alleen spoofingmeldingen waren van kamerleden. Met een goede DMARC beveiliging kan dat alleen gedaan worden via een ander account van het domein dat kamerleden gebruiken. Spoofing is strafbaar en als een ander kamerlid dat gedaan heeft, is de dader simpel via de mailserver logs te traceren.

Maar ik ben bang dat gezien de krakkemikkige opzet, ze bij de ontvanger ook geen echte DMARC beveiliging gebruiken om spoofers te weren.
24-10-2022, 16:29 door Anoniem
Door Briolet:
Dan blijft dat andere punt dat er alleen spoofingmeldingen waren van kamerleden. Met een goede DMARC beveiliging kan dat alleen gedaan worden via een ander account van het domein dat kamerleden gebruiken. Spoofing is strafbaar en als een ander kamerlid dat gedaan heeft, is de dader simpel via de mailserver logs te traceren.
Nee, dat is onzin.
Het gaat om een website waar je een mail adres moet invullen in een formulier als onderdeel van de informatie die
ze van je willen weten om een stem uit te brengen. Er is geen enkele manier waarop je dat met DMARC kunt beveiligen!

Natuurlijk kun je als onderdeel van het stemproces een mail naar dat adres sturen met instructies om iets te doen
(bijvoorbeeld op een link klikken of die naar een browser copieren, of naar een opgegeven site gaan en daar een code
invullen die in die mail staat), maar ook dan kun je niks met DMARC. Als iemand een vals adres opgeeft krijgt ie die
mail niet te zien, maar de rechtmatige eigenaar van dat adres krijgt die wel. En gaat dan wellicht evengoed piepen, ook
al is er geen geldige stem uitgebracht.

De enige context waarin je iets met DMARC zou kunnen is als de webpagina bij klik op de STEM button een complexe
mailto link zou maken die een geprepareerd mailtje verstuurt vanuit de (aan mailto URL's) gelinkte lokale mail user
agent. Die zou dan zelf het adres invullen en als iemand dat faked zou dat opvallen in DMARC.
Echter ik denk niet dat dit een realistische oplossing is, veel te veel manieren waarop dat fout kan en zal gaan!
(geen mail user agent geconfigureerd, niet voor mailto URL's ingesteld, support alleen bestemming en geen body,
ga zo maar door)
24-10-2022, 16:59 door Erik van Straten
Door Anoniem: Hide my e-mail is de standaard mail relay van iPhone daar mee kan je net zo veel uniek anonieme afzet adressen gebruiken als je wil en alle reply worden door de relay naar je inbox geforward. Waardoor je elke stem kan bevestigen.
Dat hangt van het "stemsysteem" af: als ze het enigszins verstandig hebben opgezet geldt een stem pas als de afzender van de bevestigingsmail hetzelfde e-mailadres heeft als is ingevuld op https://www.nspublieksprijs.nl/. Als ze het zo is opgezet heb je niks aan diensten waarmee je zelf geen mail (inclusief antwoorden) kunt versturen. Niet dat het "stemsysteem" daarmee wel betrouwbaar zou zijn, zie onder.

Door Briolet: Ik las vandaag dat er gefraudeerd wordt met het stemmen bij de NS Publieksprijs. Blijkbaar kon je gewoon een mailtje sturen en als de afzender een uniek mailadres had, dan gold het als stem.
Zo te zien niet door een mailtje te sturen, maar door voor-, achternaam en e-mailadres op een website in te vullen na jouw keuze voor een boek te hebben gemaakt.

Dit blijkt ook uit het reglement in https://www.nspublieksprijs.nl/reglement:
[...]
Stemreglement NS Publieksprijs 2022
[...]
2. Het stemmen geschiedt als volgt: via www.nspublieksprijs.nl. Wij vragen om voornaam, achternaam en e-mailadres. Deze gegevens worden uitsluitend gebruikt in relatie tot de NS Publieksprijs.Je stem telt officieel mee als deze is bevestigd in de bevestiginsmail.
[...]

In mei was er nog geen sprake van een bevestigingsmail (zie https://web.archive.org/web/20220518091008/https://www.nspublieksprijs.nl/reglement).

Echter, ook met bevestigingsmail is dit "stemsysteem" allesbehalve waterdicht (onafhankelijk van DMARC). Immers, fraudeurs kunnen zoveel e-mail adressen aanmaken als zij willen (en/of gehackte e-mailaccounts gebruiken, en/of ongeïnteresseerde vriendjes m/v inzetten, evt. met kleine vergoeding) en voor- en achternamen naar keuze invullen.

Dat je als antwoord een bevestiging vanaf een e-mailadres kunt sturen, zegt niets over wie jij bent, noch over hoe vaak jij als persoon jouw stem uitbrengt. En het hoeft niet eens om levende personen te gaan, er kunnen ongetwijfeld ook bots voor worden ingezet.
24-10-2022, 17:54 door Anoniem
Automatisch genereren:

Aaaa@example.com
aaab@example.com
Aaac@example.com
Etc.
Die kun je allemaal automatisch beantwoorden. DKIM heeft geen enkele toegevoegde waarde, die kun je namelijk op example.com zetten.
24-10-2022, 18:38 door Anoniem
Dank voor uw stem op Hugo de Jonge.
Dat was de bevestiging die de vrouw van Pieter Omzigt ontving bij de partijleiders verkiezing van het CDA. Voor de volledigheid: Pieter was de andere kandidaat, uiteraard had zijn vrouw op Pieter gestemd.

Het was een corrupte vantevoren uitgemaakte verkiezing. Het CDA kreeg wat het verdiende: een totale faalhaas die helemaal niks kan.

Dit is hetzelfde. Van mijn belastingeld, NS is een diep zwart gat dat draait op subsidie, wordt een kinderlijk boekverkiezinkje georganiseerd. Heel leuk voor alle Libelle lezers die in 1971 zijn blijven steken en denken dat je in de trein een boek leest.
Ook dit is uitgemaakte zaak: Theirry Baudet mag onder geen voorwaarde winnen, ook al heeft hij het allerbest boek van 2022 geschreven.

Nederland is stuk.
24-10-2022, 18:56 door Anoniem
Door Anoniem: Hide my e-mail is de standaard mail relay van iPhone daar mee kan je net zo veel uniek anonieme afzet adressen gebruiken als je wil en alle reply worden door de relay naar je inbox geforward. Waardoor je elke stem kan bevestigen.
Daarmee kan je geen e-mailadressen @tweedekamer.nl of andere bestaande e-mailadressen overnemen, en daar was hier sprake van.
24-10-2022, 20:27 door _Martin_
Door Anoniem:
Door Anoniem: Hide my e-mail is de standaard mail relay van iPhone daar mee kan je net zo veel uniek anonieme afzet adressen gebruiken als je wil en alle reply worden door de relay naar je inbox geforward. Waardoor je elke stem kan bevestigen.
Daarmee kan je geen e-mailadressen @tweedekamer.nl of andere bestaande e-mailadressen overnemen, en daar was hier sprake van.
Er was geen sprake van overnemen van e-mailadressen, de betreffende personen kregen enkel een bevestigingsmailtje "bedankt voor je stem". Het is gewoon een formuliertje waar je een aantal velden in moet vullen waaronder een e-mailadres en na het versturen van de gegevens wordt er een bevestigingsmailtje gestuurd naar het door jou ingevulde e-mailadres. Als ik daar jouw e-mailadres invul, krijg jij zo'n bevestigingsmailtje.
24-10-2022, 21:00 door Briolet
Door Anoniem:Nee, dat is onzin.
Het gaat om een website waar je een mail adres moet invullen in een formulier als onderdeel van de informatie die
ze van je willen weten om een stem uit te brengen. Er is geen enkele manier waarop je dat met DMARC kunt beveiligen!

Ik ben er ten onrechte vanuit gegaan dat je zelf een mailtje moest sturen naar het stemadres. Blijkbaar omdat ik me helemaal niet kon voorstellen dat dit controleerbaar uit te voeren was door gewoon een adres in te vullen op een website.

In elk geval gaat er een niets zeggende winnaar uit komen. Winnaar wordt niet het boek dat de Nederlanders het best vinden, maar het boek met de meeste fraudeurs in de achterban.
26-10-2022, 12:23 door Erik van Straten
Zoals ik schreef in https://security.nl/posting/772293 was deze stemmethode zeer onbetrouwbaar.

De organisatie erachter lijkt de juiste conclusie te hebben getrokken: https://nos.nl/artikel/2449832-ns-publieksprijs-niet-uitgereikt-vanwege-manipulatie.
26-10-2022, 12:43 door Anoniem
Door Briolet:
Door Anoniem:Nee, dat is onzin.
Het gaat om een website waar je een mail adres moet invullen in een formulier als onderdeel van de informatie die
ze van je willen weten om een stem uit te brengen. Er is geen enkele manier waarop je dat met DMARC kunt beveiligen!

Ik ben er ten onrechte vanuit gegaan dat je zelf een mailtje moest sturen naar het stemadres. Blijkbaar omdat ik me helemaal niet kon voorstellen dat dit controleerbaar uit te voeren was door gewoon een adres in te vullen op een website.

Denk je dat het zou werken als je op een website of anderszins in de media een "handleiding" zou plaatsen met als
inhoud iets van "om te stemmen op boek A stuur een mailtje met onderwerp 'boek A' naar stemmen@ns.nl" ofzo?
Volgens mij komt er dan niet veel van terecht. Vreemd genoeg leek dit nog wel te werken in de tijd van de SMS
berichten, maar ik kan me de grote rotzooi wel voorstlellen die je gaat krijgen als je zo iets vraagt. Bovendien is
het ook niet veel fraudebestendiger, zeker niet als je niet eest nog een reply mail stuurt met een bevestigingcode
erin die je dan weer ergens moet invullen of waar je weer op moet replyen.
En dan nog kun je mail spoofen van domeinen waar geen SPF/DKIM/DMARC op zit, dan krijg je weliswaar geen
geldige stemmen maar wel mensen die zich afvragen wat er gebeurt.

In elk geval gaat er een niets zeggende winnaar uit komen. Winnaar wordt niet het boek dat de Nederlanders het best vinden, maar het boek met de meeste fraudeurs in de achterban.

Dat is al jaren zo met iedere publieke internetstemming/poll. Als het niet "geenstijl" is die oproept om de boel te
saboteren dan wel iemand anders, of mensen komen zelf op het idee. Al heel wat keren in het recente verleden
hebben naieve organisatoren van dat soort stemmingen moeten toezien hoe er een resultaat uit kwam wat niet erg
waarschijnlijk of representatief was, en dan al of niet de hele boel maar gecanceld. Of het een keer toegelaten en
daarna de boel anders (of helemaal niet meer) georganiseerd.
Nu wordt er een hoop tamtam gemaakt omdat "het FVD is" (niet eens bewezen).
26-10-2022, 12:51 door Anoniem
Na deze (zoveelste) ervaring zou je het idee kunnen opperen om een soort stemsysteem mogelijk te maken op
internet waarbij er een controle is op unieke personen (een keer stemmen) zonder dat degene die de verkiezing
uitschrijft kan zien wie er precies gestemd hebben. Wellicht iets waarbij een module (site) van de overheid (logius?) gebruikt
wordt voor de validatie en telling. Een partij als NS of een omroep of whatever wil een stemming houden en registreert
zich bij dat "stembureau" en krijgt een of andere link of API key, maakt een website waar de mensen hun stem kunnen
uitbrengen, en als ze dat doen moeten ze zich identificeren (DigiD?) en wordt de stem zodanig geregistreerd dat
het een-keer-stemmen geborgd is maar degene die de verkiezing uitschrijft geen nadere persoonsinfo krijgt.
(men kan natuurlijk op het "stemformulier" wel om info vragen maar die wordt niet gekoppeld aan de BSN ofzo uit DigiD)

Wellicht kan daarmee de eerlijkheid van dit soort stemmingen bevorderd worden en kan het als experiment dienen
voor meer belangrijke electronische verkiezingen (kijken of er toch nog onverwachte dingen gebeuren).
26-10-2022, 14:01 door Anoniem
Door Anoniem: Na deze (zoveelste) ervaring zou je het idee kunnen opperen om een soort stemsysteem mogelijk te maken op
internet waarbij er een controle is op unieke personen (een keer stemmen) zonder dat degene die de verkiezing
uitschrijft kan zien wie er precies gestemd hebben. Wellicht iets waarbij een module (site) van de overheid (logius?) gebruikt
wordt voor de validatie en telling. Een partij als NS of een omroep of whatever wil een stemming houden en registreert
zich bij dat "stembureau" en krijgt een of andere link of API key, maakt een website waar de mensen hun stem kunnen
uitbrengen, en als ze dat doen moeten ze zich identificeren (DigiD?) en wordt de stem zodanig geregistreerd dat
het een-keer-stemmen geborgd is maar degene die de verkiezing uitschrijft geen nadere persoonsinfo krijgt.
(men kan natuurlijk op het "stemformulier" wel om info vragen maar die wordt niet gekoppeld aan de BSN ofzo uit DigiD)

Wellicht kan daarmee de eerlijkheid van dit soort stemmingen bevorderd worden en kan het als experiment dienen
voor meer belangrijke electronische verkiezingen (kijken of er toch nog onverwachte dingen gebeuren).

What could possibly go wrong ...

Je realiseert je hopelijk dat je met een hoge drempel (qua 'gedoe') om te stemmen

1) uberhaupt het meedoen onaantrekkelijk maakt
2) steeds minder representatief wordt omdat alleen de groep die bereid en instaat is alle moeite doen geteld wordt.

Voor 'publieksprijzen' of min of meer natte vinger populariteitspolls is dat ook een groot nadeel .
Ze _willen_ toegangelijkheid uitstralen, en "iedereen kan meedoen" , "iedere stem telt" . Als je dan allerlei registratie systemen gaat bouwen, en het opzoeken van DigiDs vraagt aan de stemmers - gegarandeerd dat een hoop mensen zeggen "nou laat dan maar" .En wat overblijft zal beslist geen representatieve groep meer zijn .

Wat zegt het nou , een "nederlandse publieksprijs" bepaald met 1153 heel erg exact gecontroleerde stemmers ?


Niet sympathiek - maar betaalde SMS stemmen legden wel een drempeltje op het al te massaal steunen van je kandidaat.

Op vergelijkbaar vlak zie je dat ook met enquetes - heb je zo'n buro of ijverige student die gratis meer dan een dik half uur van mijn tijd en aandacht wil voor z'n onderzoek met een enorme brij van vragen en check vragen . Voor zo ver ik zo'n enquete dan al bekeken had - bekijk het maar .

NS had het hier gewoon te simpel gedaan. Voor veel van die dingen is een bevestigingslink per mail "goed genoeg".
En wie weet een achterkamer natte vinger die teveel stemmen van een "onaannamelijk" domein weggooit .
veel stemmen vanaf @gmail kun je verwachten, maar honderden stemmen voor één boek van @bokkiesplace.nl gooi je dan maar weg .
26-10-2022, 15:01 door Anoniem
Door Anoniem:
Je realiseert je hopelijk dat je met een hoge drempel (qua 'gedoe') om te stemmen

1) uberhaupt het meedoen onaantrekkelijk maakt
2) steeds minder representatief wordt omdat alleen de groep die bereid en instaat is alle moeite doen geteld wordt.

Ja, maar goede beveiliging gaat altijd samen met "gedoe". Op deze site wordt iedere beveiliging die niet 100% is meteen
neergesabeld, dus met oplossingen met cookies ofzo hoeven we niet te komen. En kennelijk is teveel "gedoe" ook
niet goed. Wellicht zou dit verbeterd kunnen worden door middel van een gemakkelijker gebruik van digid of een
ander identificatiemiddel (scannen van een ID bewijs ofzo).

Voor 'publieksprijzen' of min of meer natte vinger populariteitspolls is dat ook een groot nadeel .
Ze _willen_ toegangelijkheid uitstralen, en "iedereen kan meedoen" , "iedere stem telt" .

Maar dan wel huilie huilie doen als er gesaboteerd of gefraudeerd wordt! Dat kan natuurlijk niet in deze tijden.

Niet sympathiek - maar betaalde SMS stemmen legden wel een drempeltje op het al te massaal steunen van je kandidaat.

Daar werd ook mee gefraudeerd, bijv door mensen die wel een API key van de zaak waar men een bulk SMS contract
had konden lenen...

NS had het hier gewoon te simpel gedaan. Voor veel van die dingen is een bevestigingslink per mail "goed genoeg".
En wie weet een achterkamer natte vinger die teveel stemmen van een "onaannamelijk" domein weggooit .
veel stemmen vanaf @gmail kun je verwachten, maar honderden stemmen voor één boek van @bokkiesplace.nl gooi je dan maar weg .

Oh je wilt voorstellen dat er een persoon naar de lijst van mailadressen gaat kijken en dan "verdachte" adressen eruit
strepen om op die manier te bepalen welke stemmen wel en niet meetellen?
Dan kun je de hele verkiezing toch net zo goed weglaten?
26-10-2022, 16:35 door Anoniem
Door Anoniem:
Door Anoniem: Na deze (zoveelste) ervaring zou je het idee kunnen opperen om een soort stemsysteem mogelijk te maken op
internet waarbij er een controle is op unieke personen (een keer stemmen) zonder dat degene die de verkiezing
uitschrijft kan zien wie er precies gestemd hebben. Wellicht iets waarbij een module (site) van de overheid (logius?) gebruikt
wordt voor de validatie en telling. Een partij als NS of een omroep of whatever wil een stemming houden en registreert
zich bij dat "stembureau" en krijgt een of andere link of API key, maakt een website waar de mensen hun stem kunnen
uitbrengen, en als ze dat doen moeten ze zich identificeren (DigiD?) en wordt de stem zodanig geregistreerd dat
het een-keer-stemmen geborgd is maar degene die de verkiezing uitschrijft geen nadere persoonsinfo krijgt.
(men kan natuurlijk op het "stemformulier" wel om info vragen maar die wordt niet gekoppeld aan de BSN ofzo uit DigiD)

Wellicht kan daarmee de eerlijkheid van dit soort stemmingen bevorderd worden en kan het als experiment dienen
voor meer belangrijke electronische verkiezingen (kijken of er toch nog onverwachte dingen gebeuren).

What could possibly go wrong ...

Je realiseert je hopelijk dat je met een hoge drempel (qua 'gedoe') om te stemmen

1) uberhaupt het meedoen onaantrekkelijk maakt
2) steeds minder representatief wordt omdat alleen de groep die bereid en instaat is alle moeite doen geteld wordt.

Voor 'publieksprijzen' of min of meer natte vinger populariteitspolls is dat ook een groot nadeel .
Ze _willen_ toegangelijkheid uitstralen, en "iedereen kan meedoen" , "iedere stem telt" . Als je dan allerlei registratie systemen gaat bouwen, en het opzoeken van DigiDs vraagt aan de stemmers - gegarandeerd dat een hoop mensen zeggen "nou laat dan maar" .En wat overblijft zal beslist geen representatieve groep meer zijn .

Wat zegt het nou , een "nederlandse publieksprijs" bepaald met 1153 heel erg exact gecontroleerde stemmers ?


Niet sympathiek - maar betaalde SMS stemmen legden wel een drempeltje op het al te massaal steunen van je kandidaat.

Op vergelijkbaar vlak zie je dat ook met enquetes - heb je zo'n buro of ijverige student die gratis meer dan een dik half uur van mijn tijd en aandacht wil voor z'n onderzoek met een enorme brij van vragen en check vragen . Voor zo ver ik zo'n enquete dan al bekeken had - bekijk het maar .

NS had het hier gewoon te simpel gedaan. Voor veel van die dingen is een bevestigingslink per mail "goed genoeg".
En wie weet een achterkamer natte vinger die teveel stemmen van een "onaannamelijk" domein weggooit .
veel stemmen vanaf @gmail kun je verwachten, maar honderden stemmen voor één boek van @bokkiesplace.nl gooi je dan maar weg .

Goede input, en dat is waar het vaak fout gaat in IT / bij techneuten en security: geen balans tussen de waarde van een uitkomst en de kosten van beveiliging.
Eren beetje als de projectmanagement driehoek waar er spanning is tussen Kosten, Doorlooptijd en Kwaliteit: je kan maar aan twee van de drie elementen voldoen. Tenminste, als je de juiste skills en ervaring hebt, zonder dat kan je doorgaans hoogstens aan één van de punten voldoen :-(

Bij Security iets vergelijkbaars, een spanning tussen Veiligheid, Kosten en Gebruiksgemak:
- bij lage kosten en hoog gebruiksgemak zal het niet zo veilig zijn
- bij hoge veiligheid en hoog gebruiksgemak zal het al snel (te?) duur zijn

Dus wat is de waarde die we moeten toekennen aan de correctheid van een publieksprijs? Moet je daarvoor een DigiD inlog gebruiken? Wat is het doel: veel verschillende stemmen om een goede steekproef te krijgen? Wat als er 0,1% "fout" is, wie leidt er dan schade? En wat als het 10% of 90% is? Kennelijk hebben de organisatoren niet zo'n probleem met stemfraude. Of Is er misschien reclame op de web pagina van die verkiezing zodat het doel is zoveel mogelijk kliks te verzamelen (want inkomen) Of er zit veel onkunde, dat kan natuurlijk ook...

Q
26-10-2022, 18:18 door Anoniem
Door Anoniem:
Dus wat is de waarde die we moeten toekennen aan de correctheid van een publieksprijs? Moet je daarvoor een DigiD inlog gebruiken? Wat is het doel: veel verschillende stemmen om een goede steekproef te krijgen? Wat als er 0,1% "fout" is, wie leidt er dan schade? En wat als het 10% of 90% is? Kennelijk hebben de organisatoren niet zo'n probleem met stemfraude.
Waarom hebben ze dan nu de hele boel gecanceled wegens stemfraude? Kennelijk hadden ze er toch problemen mee?
Of is dat puur getriggerd door de uitkomst van de stemming? Was er ook stennis gemaakt als er een andere uitkomst was?

Meestal wordt bij dit soort stemmingen de telling ook nooit getoond. Je krijgt niet te horen hoeveel stemmen er waren
op iedere keuze. Heel soms een percentage van de winnaar.
26-10-2022, 18:33 door Anoniem
Grappig hoe er nu in de media een sfeer gecreëerd wordt alsof er door Baudet/FVD is gefraudeerd, zonder dat er met bewijs komt, een Tweetje van Van Der Plas is voldoende. Laten we ook niet vergeten dat het boek op nr1 in de Bol.com bestseller lijst stond. Oh nee wacht, dat was Baudet die al z'n eigen boeken had opgekocht toch? Droom scenario weer natuurlijk; FVD te kakken zetten en geen winnaar.
26-10-2022, 20:47 door Anoniem
Door Anoniem:
Door Anoniem:
Je realiseert je hopelijk dat je met een hoge drempel (qua 'gedoe') om te stemmen

1) uberhaupt het meedoen onaantrekkelijk maakt
2) steeds minder representatief wordt omdat alleen de groep die bereid en instaat is alle moeite doen geteld wordt.

Ja, maar goede beveiliging gaat altijd samen met "gedoe". Op deze site wordt iedere beveiliging die niet 100% is meteen
neergesabeld, dus met oplossingen met cookies ofzo hoeven we niet te komen. En kennelijk is teveel "gedoe" ook
niet goed. Wellicht zou dit verbeterd kunnen worden door middel van een gemakkelijker gebruik van digid of een
ander identificatiemiddel (scannen van een ID bewijs ofzo).

Voor 'publieksprijzen' of min of meer natte vinger populariteitspolls is dat ook een groot nadeel .
Ze _willen_ toegangelijkheid uitstralen, en "iedereen kan meedoen" , "iedere stem telt" .

Maar dan wel huilie huilie doen als er gesaboteerd of gefraudeerd wordt! Dat kan natuurlijk niet in deze tijden.

Niet sympathiek - maar betaalde SMS stemmen legden wel een drempeltje op het al te massaal steunen van je kandidaat.

Daar werd ook mee gefraudeerd, bijv door mensen die wel een API key van de zaak waar men een bulk SMS contract
had konden lenen...

NS had het hier gewoon te simpel gedaan. Voor veel van die dingen is een bevestigingslink per mail "goed genoeg".
En wie weet een achterkamer natte vinger die teveel stemmen van een "onaannamelijk" domein weggooit .
veel stemmen vanaf @gmail kun je verwachten, maar honderden stemmen voor één boek van @bokkiesplace.nl gooi je dan maar weg .

Oh je wilt voorstellen dat er een persoon naar de lijst van mailadressen gaat kijken en dan "verdachte" adressen eruit
strepen om op die manier te bepalen welke stemmen wel en niet meetellen?
Dan kun je de hele verkiezing toch net zo goed weglaten?

Precies het probleem van een turbo techneut aan de "designtafel" : maar één aspect optimaliseren ("super veilig voor de paar resterende gebruikers") , een niet meer representatieve set deelnemers , en als het niet perfect is, is het waardeloos en laat je de hele verkiezing maar weg .

In sommige situaties is een foutmarge van een tiental procent wellicht niet zo erg .

NS publieksprijs is een nogal natte vinger poll en verder marketing -het hoeft niet zo perfect.
26-10-2022, 21:23 door Anoniem
Door Anoniem: Grappig hoe er nu in de media een sfeer gecreëerd wordt alsof er door Baudet/FVD is gefraudeerd, zonder dat er met bewijs komt, een Tweetje van Van Der Plas is voldoende. Laten we ook niet vergeten dat het boek op nr1 in de Bol.com bestseller lijst stond. Oh nee wacht, dat was Baudet die al z'n eigen boeken had opgekocht toch? Droom scenario weer natuurlijk; FVD te kakken zetten en geen winnaar.
Daar heb je eigenlijk niemand voor nodig. FvD doet dit eigenlijk zelf ieder moment al.
27-10-2022, 07:30 door Anoniem
Door Anoniem:
Door Anoniem:
Je realiseert je hopelijk dat je met een hoge drempel (qua 'gedoe') om te stemmen

1) uberhaupt het meedoen onaantrekkelijk maakt
2) steeds minder representatief wordt omdat alleen de groep die bereid en instaat is alle moeite doen geteld wordt.

Ja, maar goede beveiliging gaat altijd samen met "gedoe". Op deze site wordt iedere beveiliging die niet 100% is meteen
neergesabeld, dus met oplossingen met cookies ofzo hoeven we niet te komen. En kennelijk is teveel "gedoe" ook
niet goed. Wellicht zou dit verbeterd kunnen worden door middel van een gemakkelijker gebruik van digid of een
ander identificatiemiddel (scannen van een ID bewijs ofzo).

Hmmmm,

Hoe werd dit in de pre-historie (voor email en internet) zo'n publieksprijs door een organisatie (analoog) georganiseerd?
Dat is ook vloeken in de kerk hier, maar toen kon het wel. En zonder al te veel fraude(meldingen).

Keep it simple.

Een briefje met een of ander watermerk en qr-code/uniek nummer in een tijdschift of zo verspreiden. Elk briefje kan maar 1 keer gebruikt worden. En ja, als men meerdere kranten of tijdschriften koopt, kan men meerdere stemmen uitbrengen. Dat was toen blijkbaar geen issue. En zal niet in de digitale massaliteit lopen.

Nu nog de digitale versie hiervan.
Wie van de genieën hier heeft de oplossing?
27-10-2022, 10:18 door Anoniem
Door Anoniem:
Hoe werd dit in de pre-historie (voor email en internet) zo'n publieksprijs door een organisatie (analoog) georganiseerd?
Dat is ook vloeken in de kerk hier, maar toen kon het wel. En zonder al te veel fraude(meldingen).

Keep it simple.

Een briefje met een of ander watermerk en qr-code/uniek nummer in een tijdschift of zo verspreiden. Elk briefje kan maar 1 keer gebruikt worden. En ja, als men meerdere kranten of tijdschriften koopt, kan men meerdere stemmen uitbrengen. Dat was toen blijkbaar geen issue.

Ik kan me niet herrinneren dat ik deze oplossing ooit gezien heb. Wel eens dat je "bonnen" kon insturen maar
dat was dan meestal het analoge equivalent van een webformulier: alleen bedoeld om even aan te geven welke
informatie men wil zien. Meestal zo klein en onhandig in te vullen dat je voor het gemak dezelfde info op een stuk
papier schreef en dat mocht ook gewoon.
Ik denk dat de voornaamste drempel was dat het iedere keer een postzegel en een envelop (of een briefkaart) kostte
om 1 keer te stemmen, in tegenstelling tot deze tijden waar het in principe niks kost, alleen moeite en tijd, en als je
wilt kun je dat behoorlijk optimaliseren.

Nu nog de digitale versie hiervan.
Wie van de genieën hier heeft de oplossing?

Ik heb al een oplossing geplaatst: een door de overheid (ivm de benodigde een-keer controle) gefaciliteerd telsysteem
wat mensen die een stemming willen houden die een beetje betrouwbaar is kunnen gebruiken, en dat de kiezers
niet het gevoel geeft dat ze in de gaten gehouden worden (dus niet iets waarbij je bijvoorbeeld een copietje ID kaart
moet meesturen naar degene die de verkiezing houdt). Het valideren van de identiteit moet niet betekenen dat je
je identiteit ook opstuurt. Maar het moet ook heel simpel zijn. Misschien kan er iets met van die moderne apps, ik
ben daar niet bekend mee. (digid app, irma app, wat heb je allemaal)
27-10-2022, 14:56 door Briolet - Bijgewerkt: 27-10-2022, 14:58
Zelf al zou je er echt voor zorgen dat iedereen slechts één stem kan uitbrengen, dan zegt een uitslag bij deze prijs nog niets.

Hoe weet je of ze het boek daadwerkelijk gelezen hebben? En als ze het wel gelezen hebben, hebben ze ook een paar andere boeken gelezen zodat er ook een vergelijk gemaakt kan worden?

Bij een publieksprijs voor een muziekstuk ligt dit eenvoudiger want je mag aannemen dat ze het muziekstuk waar ze op stemmen wel een keer gehoord hebben en dat men ook wel meer dan één muziekstuk gehoord heeft.

Özcan Akyol schrijft in zijn column van gisteren dat hij uit eigen ervaring weet dat je zo'n publieksprijs kunt manipuleren. Als experiment heeft hij nml zelf al eens een kansloos boek laten winnen bij een publieksprijs.

https://www.destentor.nl/binnenland/de-ns-publieksprijs-is-dit-jaar-wel-degelijk-gewonnen~a13a4273/

Voor een geldige stem zou je dus ook een mechanisme moeten hebben waaruit blijkt dat je het gekozen boek, plus een paar referentieboeken, ook daadwerkelijk gelezen hebt.
27-10-2022, 15:43 door Anoniem
Door Briolet: Zelf al zou je er echt voor zorgen dat iedereen slechts één stem kan uitbrengen, dan zegt een uitslag bij deze prijs nog niets.

Hoe weet je of ze het boek daadwerkelijk gelezen hebben? En als ze het wel gelezen hebben, hebben ze ook een paar andere boeken gelezen zodat er ook een vergelijk gemaakt kan worden?

Waarom vind je dat alleen mensen die alle boeken gelezen hebben mogen stemmen ?
Als je één boek gelezen hebt en dat supergeweldig en levensveranderend vindt, mag je toch gewoon stemmen op dat boek ?

Het is gewoon weinig meer dan een populariteits ding . En sommige boeken (of programma's, of zangers) hebben een fanatiekere aanhang die hun "held" hard steunen.
Of 'netjes' - één stem per fan, of met wat moeite wat meer stemmen. Je kunt denken/hopen/statistieken of dat het resultaat echt kantelt . Of dat fans van "de anderen" dat ongeveer evenveel doen en het qua resultaat dan ook niet uitmaakt.

Maar sommige doelgroepen zijn enthousiaster met 'stemmen' dan andere .


Ook boeken worden (mede) populair door de persoon(lijkheid) van de vermeende schrijver - los van de hele inhoud.

Het is niet voor niks dat , in de oudheid, aanzitten bij Adriaan van Dis zo enorm telde, en de schrijver daar graag een interessante persoonlijkheid (en liefst geschikt uiterlijk) moest hebben.

Niet voor niks kiezen sommige (M) schrijvers een vrouwelijk pseudoniem als ze in de chicklit doelgroep (die kopen meer boeken) zitten. Het gaat om de inhoud van het boek - sure.


Bij een publieksprijs voor een muziekstuk ligt dit eenvoudiger want je mag aannemen dat ze het muziekstuk waar ze op stemmen wel een keer gehoord hebben en dat men ook wel meer dan één muziekstuk gehoord heeft.

Welnee, de echte fan luistert alleen naar de eigen band of zanger - en steunt die als een voetbalclub .
(televizier ringen, ooit de Henny Huisman soundmix show , big brother winnaars )


Özcan Akyol schrijft in zijn column van gisteren dat hij uit eigen ervaring weet dat je zo'n publieksprijs kunt manipuleren. Als experiment heeft hij nml zelf al eens een kansloos boek laten winnen bij een publieksprijs.

https://www.destentor.nl/binnenland/de-ns-publieksprijs-is-dit-jaar-wel-degelijk-gewonnen~a13a4273/

Voor een geldige stem zou je dus ook een mechanisme moeten hebben waaruit blijkt dat je het gekozen boek, plus een paar referentieboeken, ook daadwerkelijk gelezen hebt.

Als je toch elitair wilt 'stemmen' alleen door "echte kenners" , maak er dan een juryprijs van. Dan is er ook gestemd - door alle drie of vijf juryleden onderling.
27-10-2022, 15:50 door Anoniem
Door Anoniem:
Hmmmm,

Hoe werd dit in de pre-historie (voor email en internet) zo'n publieksprijs door een organisatie (analoog) georganiseerd?
Dat is ook vloeken in de kerk hier, maar toen kon het wel. En zonder al te veel fraude(meldingen).

Inderdaad - zonder veel meldingen.

Je weet niet hoe het toen achter de schermen ging - maar hier ging het balletje rollen omdat twee erg hoorbare mensen riepen "ik heb helemaal niet op dat boek gestemd maar kreeg wel een "bedankt voor je stem" melding.

Henny Huisman trok ooit het telefoonnet plat met een actie "bel voor wie je wilt als winnaar" .

Er zat denk ik wel een notaris bij om het resultaat af te stempelen, maar het mechanisme was gewoon "meeste telefoontjes winnen" .
De notaris kon hooguit stellen dat de getelde telefoontjes ook echt geteld waren, en niet uit de duim van de producer kwamen, niks met max 1x bellen.

TOP40 was altijd verkoopcijfers van een handjvol geselecteerde platenzaken . Tsja, als je weet welke koop je een handvol singles...

Mundus vult decipi, ergo decipiatur
27-10-2022, 19:45 door Anoniem
De NS zou een willekeurig woord uit het boek waarop je gaat stemmen kunnen vragen. Dus pagina X alinea Y woord Z. Daarmee bewijs je dat je het boek in je bezit hebt.
28-10-2022, 12:08 door Anoniem
Door Anoniem: De NS zou een willekeurig woord uit het boek waarop je gaat stemmen kunnen vragen. Dus pagina X alinea Y woord Z. Daarmee bewijs je dat je het boek in je bezit hebt.

Waarom is bezit nodig? Bestaan bibliotheken niet meer? Mag je niet stemmen als je wel het boek gelezen hebt maar niet het boek in eigendom hebt? Waarom zou je niet mogen stemmen zonder dat je het boek hebt gelezen?
28-10-2022, 13:04 door Anoniem
Door Anoniem:
Door Anoniem: De NS zou een willekeurig woord uit het boek waarop je gaat stemmen kunnen vragen. Dus pagina X alinea Y woord Z. Daarmee bewijs je dat je het boek in je bezit hebt.

Waarom is bezit nodig? Bestaan bibliotheken niet meer? Mag je niet stemmen als je wel het boek gelezen hebt maar niet het boek in eigendom hebt? Waarom zou je niet mogen stemmen zonder dat je het boek hebt gelezen?

Wat het oplost is dat je niet op een boek kunt stemmen waarvan je alleen het ISBN en de titel hebt. Fraude wordt dus veel moeilijker tenzij Baudet zijn hele boek gratis online zet of als hij een robot maakt die de juiste antwoorden genereert.

Voor de mensen die het boek gelezen hebben en daarna weggegeven hebben, jammer, zij kunnen niet stemmen. Misschien kunnen ze met WiFi in de bibliotheek stemmen.
28-10-2022, 15:35 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: De NS zou een willekeurig woord uit het boek waarop je gaat stemmen kunnen vragen. Dus pagina X alinea Y woord Z. Daarmee bewijs je dat je het boek in je bezit hebt.

Waarom is bezit nodig? Bestaan bibliotheken niet meer? Mag je niet stemmen als je wel het boek gelezen hebt maar niet het boek in eigendom hebt? Waarom zou je niet mogen stemmen zonder dat je het boek hebt gelezen?

Wat het oplost is dat je niet op een boek kunt stemmen waarvan je alleen het ISBN en de titel hebt. Fraude wordt dus veel moeilijker tenzij Baudet zijn hele boek gratis online zet of als hij een robot maakt die de juiste antwoorden genereert.

Dat is een oplossing zoeken voor een probleem dat niet bestaat. Het gaat ook niet over Baudet sec.


Voor de mensen die het boek gelezen hebben en daarna weggegeven hebben, jammer, zij kunnen niet stemmen. Misschien kunnen ze met WiFi in de bibliotheek stemmen.

Ja, dat is tenminste een echt democratische gedachtengang. Goed bezig! Alleen de elite die het boek heeft laten stemmen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.