Normalmente los sistemas de seguridad se basan en cookies, que vienen en las cabeceras, y tambien pueden utilizar cosas como la IP del navegador, el referer, el HTTP agent, usar parametros ocultos... Hay mil cosas que se pueden utilizar y depende mucho de como este hecho el sistema de seguridad de la aplicación.

Si la idea de "seguridad" es prevenir que un usuario pueda votar mas de una vez, lo mas normal es que utilicen cookies, por que aunque la IP es más segura, como no todo el mundo tiene una IP estática, suelen dar más problemas.

PD: De todas formas, eso es para sistemas simples sin autenticacion, ya que no es tan complicado hacer un sistema bastante seguro, basta con no ser cazurro al implementarlo, por que, por ejemplo, simplemente con una cookie, la IP y HTTPS, puedes echar por tierra practicamente cualquier ataque que no sea muy muy profesional.