Es wird immer Leute geben, die das System spielen, wenn es ihnen passt. Wenn Sie darüber hinaus so vorgehen, dass Sie überhaupt keine Cookies benötigen, sind Sie offen für sehr einfache Angriffe.
Ich denke, dass Sie Möglichkeiten zur Erhöhung der wirtschaftlichen Kosten von Benutzern in einer Wolke des Misstrauens betrachten möchten.
Zum Beispiel, wenn ein Benutzer mit dem gleichen Cookie versucht, die Abstimmung erneut zu übermitteln, kann das natürlich leicht gestoppt werden.
Wenn ein Benutzer mit einem anderen Cookie, aber von der gleichen IP das gleiche tut, könnte es von einem Proxy/Firewall kommen, so dass Sie vorsichtig sein und sie zwingen müssen, etwas zu tun, wie ein einfaches CAPTCHA. Sobald sie dies getan haben, ist nichts Neues erforderlich, wenn sie sich richtig verhalten, solange ihr neues Cookie bei ihnen bleibt.
Dies bedeutet, dass Menschen ohne Cookies noch teilnehmen können, aber sie müssen die Buchstabenfolge oder was auch immer wieder eingeben. Ein Problem, aber sie sind wahrscheinlich auf Websites, die nicht ohne Cookies arbeiten. Sie könnten bei Bedarf eine Ausnahme machen.
Sie können wirklich nicht mit Benutzern umgehen, die sich über einen Pool von IPs (real oder anders) befinden und neue und dynamische Angriffsvektoren auf Ihrer Site ausnutzen. In diesem Fall werden ihre wirtschaftlichen Investitionen mehr sein als Ihre, und Sie werden ehrlich gesagt verlieren. An diesem Punkt konkurrieren Sie nur, um die Regeln Ihres Systems beizubehalten. Das ist, wenn Sie eine Anmeldung/E-Mail/Handy/SMS-Bestätigung benötigen, um den Einsatz zu erhöhen.