Arquitetura de um Site de Leilões

Provavelmente, devido às diferentes condições de rede, os requests dos usuários não virão exatamente “no mesmo instante”. Um exemplo bobo: digamos que você, no Maranhão, usando uma conexão discada da Oi, e a Dilma, em Brasília, usando uma conexão pela TV a cabo (digamos pela Net Virtua), estejam acessando o mesmo site hospedado em São Paulo e cliquem ao mesmo tempo. Quem será atendido primeiro? Hein?

Faz sentido.

Agora, e num caso hipotético de mesma largura de banda, mesmas condições tecnológicas, por assim, dizer? vale lembrar que em sistemas como este, um segundo e um click fazem toda a diferença!

E será que um host compartilhado guenta altos tráfegos? Alguém tem algum benchmark pessoal, do tipo, sistema em host compartilhado aguenta x mil acessos/hora etc?

Com certeza o cálculo de “chegada” não é feito em segundos, pois é um tempo exageradamente grande para esse tipo de situação… o vencedor no caso deve sair nos milésimos.

[]s

pode me explicar melhor?

Ola!

Primeiro que todo o site de leilão tem boots que ficam dando lances para aumentar o preco do produto. Segundo que vc numca irá comprar um produto abaixo do preco minimo que o site espera receber pelo produto (a nao ser que eles queiram faze-lo, seria basicamente uma promocao disfarcada)

Como desenvolvedor eh facil pensar que no ultimo segundo ( ou no ultimo lance) pode-se fazer uma verificacao que o valor minimo nao foi alcancado e simplesmente fazer com que o boot dê um lance maior, e no boot claro, vc pode colocar “a data que quiser”, ou seja, um milionésimo de segundo após o seu lance.

Site de leilões sao muito mais sobre psicologia do que sobre leilão efetivamente, e detalhe, ter boots dando lances não é contra a lei.

acho desleal criar/permitir bots [e não boots ]. se eu for criar um sistema deste tipo, não criarei/permitirei isso.

penso que seria honesto de minha parte definir um valor inicial/mínimo para o leilão começar. bot, não.

aliás, existe esse negócio de ‘bot remoto’? ou ‘bot não cadastrado no sistema’ entrar e fazer uma arruaça no meu site?

e esse lance da ‘concorrência’ em termos de ‘milisegundos’? como é isso?

Pra quem disse que isso não é ilegal, há um engano: dá pra considerar ilegal sim, pelo crime de estelionato
(Art 171, Titulo II Cap VI) : “obter para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil ou qualquer outro meio fraudulento.”

Claro que isso vai depender da visão do magistrado. Mas em suma, é crime sim, mesmo sem PL84/99 no ar. Mas daí até eles não criarem, é outra história…

Eu tava pensando numa coisa: como será que funciona a arquitetura de push deles? Digo, se vc entrar lá aparece o último lance de X em X segundos, e atualiza na hora. Como será que fazem aquilo?

AUser:

Pra quem disse que isso não é ilegal, há um engano: dá pra considerar ilegal sim, pelo crime de estelionato
(Art 171, Titulo II Cap VI) : “obter para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil ou qualquer outro meio fraudulento.”

Claro que isso vai depender da visão do magistrado. Mas em suma, é crime sim, mesmo sem PL84/99 no ar. Mas daí até eles não criarem, é outra história…

Eu tava pensando numa coisa: como será que funciona a arquitetura de push deles? Digo, se vc entrar lá aparece o último lance de X em X segundos, e atualiza na hora. Como será que fazem aquilo?

Opa, com certeza existe um engano. Releia o que a lei diz:

(Art 171, Titulo II Cap VI) : “obter para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil ou qualquer outro meio fraudulento.”

Ao dar um lance com o boot, vc não está causando prejuízo a ninguém, se o usuário quer cobrir o lance, azar o dele. Foi exatamente o que a justica determinou, já que uma meia dúzia de pessoas entraram com um processo contra um determinado site de leilão no ano passado e acabaram perdendo. A atividade não é ilegal, por mais que pareca desonesta.

deniswsrosa:

AUser:

Pra quem disse que isso não é ilegal, há um engano: dá pra considerar ilegal sim, pelo crime de estelionato
(Art 171, Titulo II Cap VI) : “obter para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil ou qualquer outro meio fraudulento.”

Claro que isso vai depender da visão do magistrado. Mas em suma, é crime sim, mesmo sem PL84/99 no ar. Mas daí até eles não criarem, é outra história…

Eu tava pensando numa coisa: como será que funciona a arquitetura de push deles? Digo, se vc entrar lá aparece o último lance de X em X segundos, e atualiza na hora. Como será que fazem aquilo?

Opa, com certeza existe um engano. Releia o que a lei diz:

(Art 171, Titulo II Cap VI) : “obter para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil ou qualquer outro meio fraudulento.”

Ao dar um lance com o boot, vc não está causando prejuízo a ninguém, se o usuário quer cobrir o lance, azar o dele. Foi exatamente o que a justica determinou, já que uma meia dúzia de pessoas entraram com um processo contra um determinado site de leilão no ano passado e acabaram perdendo. A atividade não é ilegal, por mais que pareca desonesta.

1. O certo é “bot”, não boot.

2. Não é azar o dele não sr., leia novamente: “induzindo ou mantendo alguém em erro”. Você acha que alguém por acaso tinha consciência disso? No mais, dê o número do processo por favor para que consulte em que instância foi e onde foi. Não achei nenhuma jurisprudência sobre isso aqui. Além do quê, olha o Art. 6º, §4 do CDC:

“… a proteção contra a publicidade enganosa e abusiva, métodos comerciais coercitivos ou desleais, bem como contra práticas e cláusulas abusivas ou impostas no fornecimento de produtos e serviços;…” Vai me dizer que o magistrado considera de igual proporção a relação homem x máquina?

Outro: CDC Art. 31: …". A oferta e apresentação de produtos ou serviços devem assegurar informações corretas, claras, precisas, ostensivas e em língua portuguesa sobre suas características, qualidades, quantidade, composição, preço, garantia, prazos de validade e origem, entre outros dados, bem como sobre os riscos que apresentam à saúde e segurança dos consumidores."

Bom, me diga o número do processo ou me dê detalhes sobre ele, com certeza o juiz não entendeu dessa forma e nem os fatos foram apresentados dessa forma. E de todo jeito, mesmo que houvesse essa relação explícita em contrato, esse contrato poderia não ser celebrado visto que a relação homem x máquina é sempre considerada desigual. Isso pq não vamos entrar na parte de práticas abusivas, expressas do Art. 39 em diante.

São vários os mecanismos do direito em vigor para lidar com isso… Mas enfim, me mostre o processo, que vou dar uma lida. Será bom.

Alguém mais aqui é estudante de direito e tem algo a comentar? xD

Vou procurar a notícia e atualizo aqui. Concordo que o juiz pode ter decidido a favor do site de leilão no caso dos bots por desconhecer o assunto, é uma probabilidade.

Mas se são realmente ilegais, eu diria que muitos estão estranhamente sobrevivendo tempo demais. Acredito que eles se enquadrem em alguma espécie de “jogo” e usam algum truque para não serem considerados um jogo de azar.

pessoal, legal essas informações, mas acho que a gente tá fugindo de debater questões técnicas/arquiteturais… :roll:

Você tem razão.

Bom, eu pesquisei aqui e vi que todos os grandes sites de leilão online do Brasil são do mesmo cidadão. Acredita? rs. Todos hospedados fora do Brasil tb.

Eu realmente quero entender como diabos eles fazem essa arquitetura de push deles…

[]'s

sobre o quê?

quem é o cabra?

onde, basicamente?

falando sério ou zoando?

sobre o quê?

quem é o cabra?

onde, basicamente?

falando sério ou zoando?

Aí, o dono de todos estes é: 09.419.212/0001-82 - Web Lance Comércio Eletrônico.

Hospedados em: Amazon.com, Inc. Amazon Web Services, Elastic Compute Cloud, EC2 1200 12th Avenue South Seattle WA US 98144

eu tô falando sério, gostaria de conhecer essa arquitetura de push deles. Pra mim e muito estranho isso… Lidar com tudo, o que acho que acontece é que o contador é no cliente, local, e aí, o server dá o push de acordo com os dados novos, e o contador reseta. Se houver algum outro lance anterior ao seu, ele valida. Só isso. Agora como diabos ele faz esse push? Duvido que tenha um timer buscando de X em X milisegs, rs… Alguém tem alguma boa implementação disso?

[]'s

pelo que as 3 primeiras páginas do google me mostraram, alguns sites [1] fizeram parceria com a empresa supra citada porém outros [2], dizem ser administrador pela web lance… fiquei confuso agora… c sabe dizer que outros sites são dessa empresa?

vendo pelo lado técnico isso é bom… maior performance do que site hospedado em host compartilhado, claro. agora, será que eles usam todo o potencial da nuvem?

tb quero saber!

acabei de descobrir mais um site dos caras… #tenso :shock:

Acho difícil considerar bots de leilões ilegais. Toda a indústria de High Frequency Trading nas bolsas de valores mundiais é baseada nesses bots. E a BM&FBOVESPA tá aí trabalhando para ter transações financeiras abaixo de 1 milissegundo.

E sobre esses milissegundos serem vantagem, isso é normal. Eu jogo em servidores em Los Angeles com latência ao redor de 200ms. Numa arena player vs player contra um jogador daquela mesma região do servidor, latência menor que 20ms, com certeza ele vai ter mais vantagens no tempo de resposta, e provavelmente ganhar de mim.

Bruno Laturner:

Acho difícil considerar bots de leilões ilegais. Toda a indústria de High Frequency Trading nas bolsas de valores mundiais é baseada nesses bots. E a BM&FBOVESPA tá aí trabalhando para ter transações financeiras abaixo de 1 milissegundo.

E sobre esses milissegundos serem vantagem, isso é normal. Eu jogo em servidores em Los Angeles com latência ao redor de 200ms. Numa arena player vs player contra um jogador daquela mesma região do servidor, latência menor que 20ms, com certeza ele vai ter mais vantagens no tempo de resposta, e provavelmente ganhar de mim.

Bom, enquanto ninguém aparece pra esclarecer as dúvidas de arquitetura…

Eu continuo discordando, “indústria de high frequency trading” baseada em bots que aumentam os valores? Bom, é uma ótica muito diferente do mercado onde estamos lidando com pessoas físicas que estão adquirindo produtos para uso pessoal e sem intenção de gerar novas receitas com isso. Talvez esses bots sirvam para regular os valores e controlar o mercado (sei lá, falo com opinião de leigo sobre o assunto que nunca ouviu o termo high frequency trading), mas nesse caso não estão regulando nada, estão regulando para ofertar o mínimo de lucro requerido aos donos do site… E outra, eu não sei quem vai ser o legislador nesse caso, mas com certeza esses sites são regulados no Brasil mesmo, e estao sujeitos a todas as ações do CDC, etc. Eu acredito que você está comparando coisas completamente distintas…

Outra coisa que qualquer um pode alegar é que isso faz parte do ônus comercial dele. Que é uma parte e consequência natural do negócio que algumas mercadorias saiam com o preço bem abaixo (como ocorre normalmente em qualquer leilão). Vc encontrou o processo que se referiu anteriormente?

Mas uma coisa sobre essa questão do tempo de resposta, não existe um negócio lá no HTTP que eu tenho como saber o tempo que demorou, etc? Ou não usam isso por ser inseguro? Eu me lembro que tem uns negócios em MMO que calculam as ações, só que do lado cliente, e depois enviam ao servidor, embora aconteça ainda assim no lado cliente.

deniswsrosa:

AUser:

Pra quem disse que isso não é ilegal, há um engano: dá pra considerar ilegal sim, pelo crime de estelionato
(Art 171, Titulo II Cap VI) : “obter para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil ou qualquer outro meio fraudulento.”

Claro que isso vai depender da visão do magistrado. Mas em suma, é crime sim, mesmo sem PL84/99 no ar. Mas daí até eles não criarem, é outra história…

Eu tava pensando numa coisa: como será que funciona a arquitetura de push deles? Digo, se vc entrar lá aparece o último lance de X em X segundos, e atualiza na hora. Como será que fazem aquilo?

Opa, com certeza existe um engano. Releia o que a lei diz:

(Art 171, Titulo II Cap VI) : “obter para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil ou qualquer outro meio fraudulento.”

Ao dar um lance com o boot, vc não está causando prejuízo a ninguém, se o usuário quer cobrir o lance, azar o dele. Foi exatamente o que a justica determinou, já que uma meia dúzia de pessoas entraram com um processo contra um determinado site de leilão no ano passado e acabaram perdendo. A atividade não é ilegal, por mais que pareca desonesta.

releia a lei: “obter para si ou para outrem, vantagem ilícita, em prejuízo alheio, induzindo ou mantendo alguém em erro, mediante artifício, ardil ou qualquer outro meio fraudulento.”

um boot não é um usuário é um meio de impedir que o usuário ganhe… ou seja é uma forma de se obter vantagem ilícita ao que custa prejuizo para os usuários, se o boot não é um usuário e sim um mecanismo ele é uma fraude… isto é sim ilegal… e quem faz isto tem que ir é pro xadrez. E uma tatica parecida a usada em caça-nickel onde a vantagem e sempre da maquina…

imagino que não exista lei para punir isso. beleza. mas que é uma puta falta de sacanagem, é…

que dizer que as bolsas lá de fora usam bots? :shock:

tecnicamente falando, só melhorando a qualidade de nossa banda larga, certo? ou tem algo mais a se fazer?

num caso como este, como garantir ‘igualdade de condições’ para todos os participantes?

sim. inclusive, existem diversas reclamações contra alguns desses sites por aí. penso até que alguns já foram processados…

juro que também pensei nisso…

pode isso, gente? :shock:

#curioso

quem souber algo e puder nos ajudar, será ótimo! vai enriquecer demais nosso debate.

pessoal, refaço a pergunta: tem como um [color=red]bot[/color] atuar em meu sistema sem estar logado? assumindo que meu sistema é ‘minimamente seguro’, usa ssl, tem alguma proteção contra sql injection etc, ainda assim existe a possibilidade de este ser assolado por [color=red]bots[/color]?

concordo totalmente.

imagino que não exista lei para punir isso. beleza. mas que é uma puta falta de sacanagem, é…

que dizer que as bolsas lá de fora usam bots? :shock:

tecnicamente falando, só melhorando a qualidade de nossa banda larga, certo? ou tem algo mais a se fazer?

num caso como este, como garantir ‘igualdade de condições’ para todos os participantes?

A lei nesse caso não é específica, caso fosse, seria “Lei para sites de leilões”, mas o que digo é que se encaixa sim em várias leis que regulamentam atividades comerciais. (CDC Art. 31 trata muito sobre esse caso). Não tem como falar que existe uma atividade que não é regulada pelo Estado e que não tenha algo positivado. Portanto, não é preciso uma “lei” específica sobre isso. Alguns casos sim, mas esse não é um deles. Um exemplo que precisa para maior especificidade e ajuda no processo para obtenção de provas é o PL84/99, tao discutido ultimamente depois que aqueles kiddies do lulzsec-br ficaram dando DDoS por aí… Porquê o problema não é caracterizar um “owned” em uma pagina do governo como ilegal, o problema é que a obtenção de provas para isso é muito complicada e são facilmente refutáveis… Enfim, os sites de leilão são sim reguláveis e o uso de bots, se comprovado, dá facilmente margem para uma boa grana e uma multa ferrada.

Sobre essa questão de garantir igualdade, acho que é impossível, se eu não me engano no pacote TCP/IP tem algo que fala sobre isso, o tempo decorrido, mas com certeza é inseguro pra usar (eu poderia botar e ganhar). Ou seja, acho que é quem chegar, chegou…

É impossivel vc deixar ele 100% seguro pois não existe segurança 100% contra nada na computação…
porem tem como vc deixa-lo uns 90% mais seguro contra boots de usuários mal intencionados basta usar captchas assim é quase impossivel de um bot interpreta-lo…

sim, eu sei! além do que eu disse (ssl, proteção contra sql injection etc) e captchas, que mais poderia fazer para aumentar a segurança?

dá ou não para sofrer com ‘bots remotos’ e ‘não logados’ em meu sistema?

Cara, acho que impossível não contar com isso. Você vai sofrer com bot sim, mas sem estar logado, eu acho que não.

Captcha em site de leilões não dá certo. E outra, eu já vi libs que leem captchas com uma boa precisao…

pois é: estou a pensar se existe alguma forma de sofrer com bot não logado, mas acho que não mesmo… alguém discorda?

será que isso vale para os captchas do recaptcha?

Bom, se esses aí dá certo ou não, eu não sei (acredito que nao), mas eu conheci um cara que conseguiu ler e decodar os captchas da Receita Federal…

Mas de todo jeito, ia ficar tosco esse lance de captcha, imagina só pra dar um lance ter que fazer isso… Ia tirar mto a usabilidade.

E sim, concordo com vc, bot sem estar logado acho impossível.

recentemente acessei praticamente todos os sites nacionais desse gênero. além de feios, mal feitos e copycat uns dos outros, segurança é algo que eles pouco se preocupam… parece que é de sacanagem, sabe? acabam que faturam muito pq o internauta médio num tá nem aí para certas questões…

dessa forma, penso que qualquer um que cuide da segurança como requisito zero já estará cem passos à frente da ‘concorrência’…

ficam as questões: shared host x vps e como (tentar) garantir ‘igualdade de condições’ para todos, uma vez que cada conexão tem uma latência…

Eu discordo. Eu acho que não investem em segurança pq o cliente não liga, e se o cliente não liga, não vai trazer retorno financeiro.

Acho que o layout, a forma, etc, isso sim que deve ser valorizado. Integração com celulares e uma espécie de “ofertas pra você” sim que podem trazer retorno.

Mas claro, segurança é obrigação.

agir assim é burrice! o mínimo de segurança é algo básico demais para ser ignorado! mesmo que o ciente não ‘ligue’ para… agora, vagabundo tem tanta sorte que mesmo com sisteminha meia-boca, dão sorte e não têm o mesmo invadido…

com certeza! next feature!

acabei de ‘parar’ no site show de centavos por alguns instantes. acredite se quiser, mas o cronômetro ‘zerou’ e, ao invés de o sistema deles exibir o ‘vencedor’ do leilão, adivinhe o que aconteceu? isso mesmo: o cronômetro foi re-iniciado, e com 1:30"! :shock: que nojo cara! :twisted:

http://g1.globo.com/tecnologia/noticia/2011/08/fraudes-em-sites-de-leiloes-de-um-centavo-podem-enganar-internautas.html

Opa Lucas,

É isso mesmo. Mas dá pra colocar PROCON neles, o problema é se o juiz for legalista demais… Essa questão de direito digital vai dar o que falar ainda.

[]'s

fiquei com a impressão de que o calcanhar de aquiles desse tipo de sistema é o javascript, não? tudo depende do contador (normalmente feito em js)… existem formas de programar em js de modo ‘seguro’? ou, como minimizar a possibilidade de fraudes no contador?

Sai de uma empresa que teve muitos problemas com um site de leilao mal feito, e que teve q sair do ar, quebra de contrato, multa e tal…
A questao de bots existia nesse sistema mas era criado e agendado pelo proprio cliente/usuario.
ex:
Quem agenda: Eu(cliente/usuario) posso com meus creditos(que comprei) criar bots para lances.
Da regra de criação: A regra determinada seria programar lances entre Valor X e Valor Y a cada Z segundos(apenas em SEGUNDOS).
Pulo do gato para o usuario/cliente: Entao um usuario dá um lance real e o meu lance cobre o lance dele após Z segundo do lance dele, assim eu cobri o ultimo lance automatico.
Se varias pessoas agendassem lances automaticos, lances cobririam lances e os milisegundos seriam o diferencial, só a nivel de hardware ou banda ou sei lá…
Para que o Usuario não sofra o bot ele teria que dar seu lance no ultimo segundo, pois o bot agirá apenas dentro do tempo do leilao do produto, logo entre os ultimos ms nenhum boot conseguiria agir.

E ae?

Vamos falar de arquitetura???

Um servlet bem definido conseguiria resolver as concorrencias?
Falando de servlets assincronos, isso seria uma boa opção?
Objeto Sincronize, Objeto em escopo de Sessao, Será que seria confiável usa-los para segurar estes lances dos usuarios e manter a concorrencia?
CRiando uma hash com a hora que o cliente clicou e comparando todos os cliques no servidor para garantir os milisegundos pra cada usuario seria viável para eliminar o problema da latencia e de uma possivel auditoria?

sim, vamo!

tenho pensado nisso… o google plus utiliza ‘servlet puro’, jee sem framework, javascript e closure.

se os caras confiam no servlet para um site de grande acesso como este, deve ser porque ele ‘guenta o tranco’, não?! :shock:

preciso pesquisar sobre…

acho que a verdadeira ‘concorrência’ está do lado do cliente, não?

posso estar sendo radical demais, mas acho que o problema da ‘latência’ se resolve ‘facilmente’ hospedando o sistema no brasil…

aparentemente, não há muito o que fazer, se não ‘ser patriota’… :roll:

Achei esse post do Paulo Silveira que aborda praticamente toda a solução deste post aki.
http://blog.caelum.com.br/javaee-6-contexto-assincrono-das-servlets-para-o-ajax-push/

Ótima essa abordagem…

qual seria a vantagem de somar servlets + js + closure?

Bom cara peguei o post bem avançado, mas vamos a arquitetura, trabalho com trafego web, imagina a seguinte situação:
Uma pagina do msn tem em media 1000k impressoes por minuto, é isso mesmo por minuto.
Agora vamos la, tenho uma peça(.swf) que veicula no msn, estadao e folha.
Como meu servidor vai aguentar tanto trafego?
Primeiro um servidor parrudo, pode ser akamai ou algum compativel.
Outra coisa o famoso load balance.
Isso resolve o problema de requisições “simultaneas”, sem deixar cair o server.

Agora nos leiloes a questão são os cliques, vamos ignorar os boots, pois existem sites de leiloes serios de carros usados, boi e etc, tudo virtual(nao me vem nenhum na cabeça).

Tudo que foi falado aqui, até onde eu li, é valido, tipo banda, provedor, cabeamento, placa de rede, e assim vai.
Porem duas pessoas em pé de igualdade em tudo, e acessando um site desses honesto.

Sim agora chegamos na eletronica, um pulso (“click”) é levado ao servidor atraves de um pulso eletrico, e ai esta o xis da questão, um chega primeiro, agora nao tenho as soluções de bate e pronto e estou indo almoçar se alguem quiser pode complementas, mas com as leis da fisica as variaveis levam um a ser o primeiro e esse um é o espermatozoide da vez que vai ganhar um iphone gastando apenas “1 REAL”…

Bom galera se falei besteira isso é um forum, bora discutir!!!

[]´s

minha busca têm sido por um ambiente, uma arquitetura ‘de primeira’: rápida, estável, confiável, concorrente, ‘pouco latente’, escalável etc.

discutir ‘pulso elétrico’ é coisa para ‘estudante de física’!

estava pensando, cá com meus botões: site de leilões. servidor nos eua. clientes, no brasil. todos. apesar da ‘alta latência’ bra x usa, se todos os clientes estão aqui e o servidor lá, todos estão ‘em pé de igualdade’, não? alguém discorda? :roll:

Acho que ta falando bobagem cara…
http://blog.hostdime.com.br/tecnologia/eua-ou-brasil-onde-hospedar/#.TrkzRnJfbcM
não disfoque pra if’s mas foque pra Disponibilidade e Controle de Concorrencia.

post do Paulo Silveira que aborda praticamente toda a solução deste post aki.
http://blog.caelum.com.br/javaee-6-contexto-assinc...das-servlets-para-o-ajax-push/

Acho que a solução mais coerente está aí…

O contador é em JS.
A hora exata do clique é pega aonde? Na data/hora da máquina do cliente?
Porque se for no servidor ai entram as questões de rede e tals.
Se for na máquina do cliente ai é falho d+.

se o site de leilão não quer penalizar o usuário pelo tempo gasto com o envio da mensagem até o servidor, acredito que dê pra fazer algo do tipo.

servidor envia para o cliente o “horário do servidor” na 1° requisição

o usuário ao dar lance, ira enviar como requisição do servidor o “horário salvo” + “horario de envio” .

ai o servidor faria algum calculo do tipo ((horario de chegada -horario de envio) (horario salvo)), ai teria alguma parametrização de tempo aceitável de “delay”, que validaria ou nao o lance do cara.

agora é realmente assim que funciona ? eu achava o tempo considerado era somente o horário em que a requisição chegava ao servidor, até porque nunca vai dar pra ser 100% justo, se o cara tiver com uma net 56k podre, pode demorar até uns 10 segundos p enviar a requisição.