Bewertungsknopf für das Heise-Softwareverzeichnis

Seit dem esiehCOM im Heise-Softwareverzeichnis gelistet ist warte ich mit Interesse darauf, dass für Seitenbetreiber eine Schnittstelle geschaffen wird, damit die entsprechende Software auf der Seite des Entwicklers bewertet werden kann. Ich wünschte mir also die Möglichkeit, auf der Webseite einzubinden:
Bitte bewerte esiehCOM im Heise Softwareverzeichnis!

[PULLDOWN 1-5] [ABSTIMM-KNOPF]

Leider bietet das Heise-Softwareverzeichnis so etwas nicht an. Was sie allerdings auch nicht tun, ist das Auslösen des Abstimmung von andere Stelle aus zu unterbinden. Bekannt ist dieses „Feature“ auch als Cross Site Request Forgery. Und so kann man dann doch für seine Eigene- oder Lieblings-Software auf seine Webseite abstimmen lassen.

Hier und jetzt „NoScript“ im Heise-Softwareverzeichnis bewerten

Ich will im Rahmen dieses Artikels das nützliche NoScript bewerten lassen. Damit die Wertung auch korrekt gezählt wird, musst Du zuerst bei Heise.de eingeloggt sein. (Finde heraus, ob Du zur Zeit bei Heise.de eingeloggt bist!) Nach dem Klick auf dem Knopf wird für kurze Zeit ein kleines Popup-Fenster eingeblendet. Dieses wird für die Übermittlung der Abstimmung benötigt, ein etwaiger Popup-Blocker muss das also erlauben. Die abgegebene Bewertung kann auf der NoScript-Seite eingesehen und auch wieder rückgängig gemacht werden.

Bitte bewerte NoScript im Heise Softwareverzeichnis!




Wie kann Heise das unterbinden?

Heise.de hat Kenntnis von dieser Möglichkeit, hat jedoch bis heute nichts dagegen unternommen. Nach einer kurzen Analyse der offensichtlich vorhandenen Mittel, könnte die Lösung darin bestehen, ein Token aus [MD5-Hash + Salz aus dem angemeldeten Nutzernamen] zu erstellen und an jedem Bewertungslink anzuhängen. Beim Prüfen einer abgegebenen Bewertung wird der aus dem Link übermittelte Token mit dem aus [MD5-Hash + Salz aus dem angemeldeten Nutzernamen] verglichen und nur bei Übereinstimmung fließt die Bewertung mit ein. So würde sicher gestellt werden, dass die Abstimmung nur für Nutzer funktioniert, die zuvor die entsprechende Heise-Seite aufgerufen und den dort angegebenen Link persönlich verwendet haben.

Das könnte dich auch interessieren …

3 Antworten

  1. Das geht auch einfacher:

    Gib mir 5 für esiehcom

    Gib mir 5 für noscript

    Dann baust du dir hier in den Blog noch ein unsichtbares Bild ein:
    <img src=“http://www.heise.de/software/default.shtml?quickvote= 49604&r=5″ />
    Und schon bekommst du von jedem Besucher hier, sofern er bei heise.de gerade angemeldet ist, deine 5 Punkte für esiehCOM. :O)

  2. Erich Kachel sagt:

    Aber das sind doch die multiplen, wunderbaren Möglichkeiten dieser Schnittstelle! Oder willst Du einer IT-Fachseite wie Heise unterstellen, dass es so nicht gewollt ist? Dann hätten sie das nämlich bereits ab Kenntnis im Oktober, November, Dezember 2008 oder Januar 2009 geschlossen.

  3. Kenntnis haben die Heise-Jungs seit mindestens dem 29. Oktober. Die heiße Antwort auf meinen Hinweis dazu war:

    vielen Dank fuer Ihren Hinweis, er wurde an den entsprechenden Kollegen weitergeleitet. Die Behebung wird leider noch einige Zeit dauern.

    Und… äh… ja! Das ist kein Bug das ist ein Feature, denn man kann damit auch nur einen Bewertungspunkt abgeben und eine Software schlecht bewerten – und das vollautomatisch. ;O)