[Sprendžiama] Pasiūlymas dėl paskyrų saugumo

Na tai jeigu kodų kortelė, tai kodėl gi ir virtualios pinigų sąskaitos nepadarius? :)

kodų kortelė gal ir ne, bet variantas su IP tikrai neblogas, tik kad būtų galima užregistruot iki 3 kompiuterių, nes ne visada su savimi turim tarkim savo laptopą ar pan.

Na tai jeigu kodų kortelė, tai kodėl gi ir virtualios pinigų sąskaitos nepadarius? :)

Kaip kad tuktuk.lt turi? :)

Kodų kortelė geras išmastymas. Tik manau ją ne apčiuopemą, o elektroninę, na tiesiog ar parsisiųsti į kompiuterį sugeneruotus kodus ar kažkas tokio. Čia kiekvienam išdalinti nesamonė. Manau tikrai geras pasiūlymas.

Žinoma aš įsivaizduoju, kad kodus nekiekvieną kartą vesti, o tik bandant prisijungti.

Kodų kortelė geras išmastymas. Tik manau ją ne apčiuopemą, o elektroninę, na tiesiog ar parsisiųsti į kompiuterį sugeneruotus kodus ar kažkas tokio. Čia kiekvienam išdalinti nesamonė. Manau tikrai geras pasiūlymas.

Jeigu elektroninė būtų knygutė, tai jokios naudos :) Viską, kas internetu siunčiama galima išgauti, todėl jeigu nuspręstų internetines kodų korteles daryti, manau, kad apskritai tada nevertėtų imtis kortelių ir sistemos darymo...

Kodų kortelė geras išmastymas. Tik manau ją ne apčiuopemą, o elektroninę, na tiesiog ar parsisiųsti į kompiuterį sugeneruotus kodus ar kažkas tokio. Čia kiekvienam išdalinti nesamonė. Manau tikrai geras pasiūlymas.

 

Žinoma aš įsivaizduoju, kad kodus nekiekvieną kartą vesti, o tik bandant prisijungti.

Na jeigų realias daryt, tai galėtų ir po 5LTL surinkti iš kiekvieno vartotojo, čia juk centai. Arba galima būtų tiesiog .jpg failiukus susiuntinėti ir viskas. :)

Tai taip, vienetinis atsisiuntimas ar kažkas tokio tos "kodų kortelės". O kaip AceriVe sako galima ir su narių investavimu, aš prisidėčiau prie tobulos sistemos darymo, kažkokia tai pinigų suma.

nedarykim is forumo nezinia ko, nenori buti apgautas tai ir nepasitikek naiviai, mastyti su galva reikia.. o durniu ir baznycioj musa. o ka liecia is technines puses manau uzdarbio adminai i tai reaguoja greitai ir sutvarko.

nedarykim is forumo nezinia ko, nenori buti apgautas tai ir nepasitikek naiviai, mastyti su galva reikia.. o durniu ir baznycioj musa. o ka liecia is technines puses manau uzdarbio adminai i tai reaguoja greitai ir sutvarko.

Aš šią temą rašiau, tikrai ne dėl to, jog noriu padaryti iš forumo "nežinia ką" pagal tavo pasakymą. Aš noriu jį paversti dar unikalesniu ir saugesniu kiekvienam iš mūsų. Apie pačią administraciją, aš neturiu blogų žodžių, jie atlieka savo darbą puikiai ir operatyviai. (: Mano manymu, tu iš tos operos, kurie nebuvo susidūrę su apgavystėm stambesnėm, ar nebuvo tavo paskyra pasinaudota kažkuriems tikslams "piktųjų dėdžių". Jeigu taip, tai nieko, dar "nusvilsi", durniais kitus vadindamas. Na, o jeigu ir tai nepataikiau, tai tu tuomet tas, kuriam ir 5 lietuviški metaliniai litukai yra brangesni už viską, įskaitant ir visapusišką saugumą. ^_^

mano nuomone forumas ir taip saugus.

IP adresų limitas tai būtų labai blogas dalykas. Kas, jei aš jungiuosi iš pastoviai kintančio adreso per mobilų internetą? Ir šiaip - noriu turėti priėjimą prie forumo iš ten, kur noriu ir tada, kada noriu. Tas IP adresų registravimas būtų labai griozdiškas dalykas. Net jei IP nekinta kiekvieną kartą jungiantis, bet atskiri IPT juos kartais keičia. Ateini vieną dieną ir BAC - negali prisijungt, nes tavo "provaideris" pakeitė IP :D Daugiau bėdų, nei naudos.

Kodų kortelė? Taip pat pesimistiškai žiūriu. Slaptažodį pavogti nėra taip lengva, jei žmogus bent kiek saugosi pats. O jei nesisaugo - tai ir kortelė nepadės. Manau forumas ir taip yra pakankamai saugus. Ne viena tema yra apie tai, kaip apsisaugoti nuo apgavikų - naudokitės jomis ir švieskit naujus narius. Bus pigiau ir naudingiau.

Bet visvien uždėsiu + už iniciatyvą.

Jau esu užsiminęs apie artimiausius planus šiuo klausimu:

Šių metų pabaigoje / kitų pradžioje pažadu SMS patvirtinimo sistemą, kurią galės (bet neprivalės) įsijungti kiekvienas norintis ir kuri reikalaus SMS patvirtinimo kodo kaskart prisijungus nauju (dar nepatvirtintu) IP adresu.

Tai geriausias variantas, kokį šiuo metu matau.

O kokia numatoma tokio patvirtinimo kaina?

Man asmeniškai ne itin patinka šiuo metu taikoma asmenybės patvirtinimo politika, kai tokios funkcijos panaudojimas kainuoja 10 litų. Mano manymu, naudojantis saugumo ir patikimumo motyvu šitaip yra uždirbami pinigai ir galimai būtent pajamos, o ne forumo narių saugumas yra aukštesnis prioritetas. Vienintelis atvejis, kuriuo tai pateisinčiau, būtų tai, jei tapatybę patvirtinę nariai forume visiškai nematytų reklamos. Suprantu, forumą išlaikyti kainuoja, be to į jo plėtotę reikia įdėti pastangų, skirti tam laiko, todėl siekis iš to gauti pajamų yra daugiau nei suprantamas. Galbūt dėl kažko klystu, o galbūt 10 litų susimokėjusiems žmonėms reklama ir nerodoma, bet priešingu atveju, komentaras galioja. Aš manau, jog tapatybės patvirtinimo funkcija būtent šiai paskirčiai ir turėtų tarnauti - nustatyti ir leisti patikrinti asmens vardą bei pavardę. O tam pakanka kad ir 1ct pavedimo. Galbūt tokio patvirtinimo funkcija kainuoja pati savaime, nes bankas be komisinio, kurį bet kuriuo atveju susimoka pavedimą atliekantis žmogus, ima dar kažkokį mokestį (abejoju tuo, bet nesu tikras), tuomet galima siekti padengti tas išlaidas, bet jos tikrai nesudaro 10 lt. Kaip pavyzdį duočiau forumas.org forumą, kuriame tapatybės patvirtinimui pakanka atlikti protingesnio dydžio - 1 lt - pavedimą. Žinoma, tas forumas dar nėra išpopuliarėjęs, tad pastarasis turbūt ir neturi tokių sąlygų šios galimybės išnaudoti.

Tad nesinorėtų (atkreipkite dėmesį į tariamąją nuosaką), kad ir SMS patvirtinimo paslauga tarnautų pajamų šaltinio vietoje.

Kodėl nepasirėmus bankų taikomais metodais. Juk bankinių sistemų saugumas laikomas vienu didžiausių. Estijoje, jei neklystu, internetu balsuojantis žmogus yra identifikuojamas būtent per el. bankininkystės sistemą, nenuostabu, kad šį metodą pasirinko ir forumas. Tad galėtume perimti dalį geros jų praktikos. Prisiregistravusiam vartotojui būtų galima sugeneruoti virtualią "kodų kortelę". Šią kortelę naujai registruotam vartotojui sistema pateiktų kartu su registracijos duomenimis, o vėliau vartotojui šie kodai sistemoje nebebūtų prieinami ir nebūtų galimybės juos koreguoti. Vartotojas juos turėtų išsisaugoti asmeniškai.

Uždavinio algoritmas nėra toks sudėtingas:

• 
   
  
• Sugeneruoti, pavyzdžiui, 25 numatytos apimties kodus - programiniu požiūriu trivialus uždavinys;
  
• Pateikti šią informaciją kartu su kita prisijungimo informacija naujai registruotam vartotojui - nereikalauja naujo funkcionalumo;
  
• Priskirti kodų rinkinį vartotojui duomenų bazėje - paprasta, viena papildoma DB lentelė ir FK į vartotojų lentelę;
  
• Tuo atveju, kai vartotojas jungiasi iš naujo, sistemoje dar "nepatvirtinto", IP - parodyti papildomą formą prisijungimo metu paprašant įvesti atsitiktiniu būdu atrinktą kodą - IP "naujumo" nustatymas bus reikalingas bet kuriuo atveju, papildoma forma - kodo perpanaudojimas, atsitiktinio skaičiaus tam tikrame intervale gavimas - paprasta;
  
• Jeigu įvestas teisingas kodas, prijungti vartotoją prie sistemos, o šį IP visam laikui arba tam tikram laikui saugoti kaip "patvirtintą" to vartotojo - stebuklų įvedant IP įrašą ar pridedant egzistuojančiajam vėliavą "patvirtintas" nematau.
  

Praradus "kodų kortelę" asmuo kreiptųsi tiesiogiai į administraciją. Va "kodų kortelės" naujo sugeneravimo ir pateikimo funkciją galėtumėte simboliškai ir apmokestinti (bet ne patį bazinį funkcionalumą) dėl dviejų priežasčių:

• kad "nesinorėtų" tų kodų prarasti per dažnai;
  
• dėl to, jog juos atstatant reikėtų tiesioginio administracijos dalyvavimo, kas gaišintų jos laiką.
  

Du mano centai.

Taisyta:

Prieš rašydamas savo komentarą, nebuvau perskaitęs šios dalies:

Antras variantas - kodų kortelės. Ši funkcija gal reikalautų investicijos, tačiau mano manymu tai būtų saugiausia apsauga nuo įsibrovėlių. Su ja, susiduriame vos ne kas dieną, kadangi ją randame savo elektroniniame banke. Taip taip, siūlyčiau forumo kūrėjams ir valdytojams sukurti tokią pačia sistemą, sugeneruoti kiekvienam vartotojui skirtingus kodus ir besijungiant, vartotojas privalėtų įvesti savo atitinkamą kodą.

Ir likusiųjų pirmųjų temos pranešimų, o atsakiau tiesiai Kerniui, tad dovanokit už pasikartojimą. Jei idėja kilo keliems asmenims, gal ji tikrai verta dėmesio.

Tai ir nesitvirtink tos tapatybės, galėsi paskaitinėt forumą ir tiek. Nesuprantu tokių žmonių kurienms gaila 10lt nors forumas suteikia galimybę užsidirbt pačiam pinigų. Dėka tokios patvirtinimo sistemos kiek sumažejo apgavysčių. Dabar koks tikslas būtų padaryt patvirtinimą už 1lt? Scameriui užregistruot 10 naujų vartotojų kainuos tik 10lt, dabartiniu atveju 100lt, ir nemanau kad leis tokius pinigus vien registracijom. Ir nebūk šykštus, leisk ir forumui uždirbt...

Tai ir nesitvirtink <...>

Kiek pamenu, visai neseniai forumo naujienose (berods, "išdaužytų langų teorijoje") buvo rašyta apie tai, jog derėtų vengti tų asmeniškų/familiarių pasiūlymų. Bet kuriuo atveju, ačiū tau už patarimą.

Grįžtant prie temos, taip vadinamam "scammer'iui" reikia turėti 10 banko sąskaitų 10-ies skirtingų svetimų asmenų vardais. Būtent tai yra tapatybės patvirtinimo sistemos saugiklis, o ne reikalinga pinigų suma. Pinigų suma pačios funkcijos atžvilgiu čia apskritai nevaidina jokio vaidmens išskyrus kažkieno pajamas ir kažkieno išlaidas.

Ar "gaila"? Vienareikšmiškai neatsakysiu. Nesu linkęs švaistytis pinigais, kita vertus, forumas geras, forumas tikrai suteikia tam tikras galimybes, kaip jau pats paminėjau, jį sukurti prireikė investicijų, lygiai taip pat jų reikia ir jį palaikant, plėtojant. Tad noras gauti pajamų iš savo sąžiningo ir naudingo darbo man atrodo visiškai suprantamas ir priimtinas. Tik kalbant apie dabartinę tapatybės patvirtinimo sistemą prie saugumo ir patikimumo motyvų dar reikėtų pridėti ir pajamų motyvą ir dėl jau minėtų priežasčių (tapatybės patvirtinimui pinigų suma įtakos neturi) man nėra visiškai aišku, kuris iš pastarųjų čia realiai turi didesnį prioritetą. Beje, negalima nepaminėti, kad forumo vertę ir naudą ne mažiau kuria ir jo bendruomenė kaip visuma. Tad tai tikrai nėra vienos krypties naudos mainai, jei būtų bandoma šitaip visa tai pateikti. Be to, paremiant forumą būtų galima vartotojams suteikti dar vieną tam tikrą privalumą - leisti pailsėti nuo reklamos. Tokie būtų mano pastebėjimai ir mintys šiuo klausimu, buvau apie tai pagalvojęs anksčiau, šioje temoje radau progą jas išdėstyti.

Bet savo komentaru aš nesakau "sumažinkite kainą", nors tam ir neprieštaraučiau, aš sakau "nenoriu, kad ši nauja funkcija taip pat tarnautų kaip pajamų šaltinis, o ne savo tiesioginei paskirčiai". Taip pat pasiūliau, kaip vėliau pastebėjau, ne mano vieno iškeltą, alternatyvą, kuri, jeigu SMS naudojimo atveju to padaryti nepavyktų, galėtų apsaugoti vartotojus nuo papildomų išlaidų. Manau, tai yra tik konstruktyvus požiūris ;)

Atsiprašau, jei čia išsireiškiau apie asmeniškumus, nieko pikto nenoriu pasakyt. :) Noriu pasakyt, kaip ir tu, pagal tavo niką sprendžiant esi tekstų vertėjas imantis atlygį už paslaugas, kaip ir forumas taip pat savotiškai suteikia paslaugą, tad normalu, kad tas tapatybės patvirtinimas kainuoja 10lt, kitaip kalbėčiau jei čia būtų mokestis kas mėnesį. O dėl to, kad pajamos gaunamos būtent už tapatybės patvirtinimą, nematau čia nieko blogo, kas kaip moka, tas taip uždirba. :)

O dėl scamerių tai atvirkščiai, kaip dabar realiai matom, banko sąskaitas jie gauna gana lengvai, bet pinigų sumas sunkiau. :)

Na, aš išdėsčiau savo požiūrį, tačiau jo nebruku. Dėl to, jog išsakiau savo nuomonę, tokią, kokia ji yra, nepadarykit iš manęs kažkokio baubo, forumo priešo :) Manau, iš mano komentarų yra akivaizdu, kad apie forumą aš atsiliepiu teigiamai ir kad jį bei jį kūrusių žmonių darbą vertinu. Taip pat aš nesakau, "netvirtinkite savo tapatybės" bei neteigiu, jog pats jos nepasitvirtinsiu, kai man to prireiks (kitaip sakant, nespjaunu į šulinį).

Esu vienas iš šio forumo narių ir kaip visi mes, turiu galimyę bei teisę išsakyti savo nuomonę, juolab, kad darau tai pagarbiai, kartu pateikiu kažkokį pasiūlymą, taigi, ir konstruktyviai. Kodėl gi tai turėtų būti kažkas blogo? Vien dėl to, kad tai prieštarauja kažkieno kito nuomonei? Nuomonė, kuri atitinka visų kitų nuomones, tai jau nebe nuomonė, o tiesiog konstatavimas. Manau, jog grįžtamasis ryšys yra labai geras dalykas tiems, kurie orientuojasi į ilgąją perspektyvą. Kadangi esu forumo narys, tai mano nuomonė yra visos forumo bendruomenės grįžtamojo ryšio dalis. Aš nesureikšminu savęs, kadangi kaip individas esu maža tos bendruomenės dalis, tai man visiškai priimtina, jei mano nuomonė ir bus vertinama proporcingai. O galutinius sprendimus lemia forumo administracija kartu, turbūt, atsižvelgdama ir į mūsų balsą. Jei daugiau žmonių bei pati administracija laikysis tavojo požiūrio, jis ir vyraus, jei ne - ne. Tad aš neprotestuoju, tiesiog nustokim bijoti alternatyvių minčių, ypač kai jos išsakomos siekiant nušlifuoti bendrą požiūrį, o ne tiesiog mėginamos reikalavimų ir ultimatumų pagrindu nuleisti iš viršaus.

Tiek iš mano pusės.

[..]

• Visų pirma, tai pasitvirtinę nariai (o gal ir visi?) turi galimybę išjungti reklamą.
• Antra, kaip ir minėjo antler, 10lt = mažiau scamerių.
• Trečia, forumo savininkai turi kas mėnesį (gal ir kas pusmetį ar pan.) apmokėti sąskaitas už tinklalapio išlaikymą, ir nemanau, kad iš reklamų jie gauna milžiniškus pinigus, todėl mokestis už tapatybės patvirtinimą taip pat padeda išlaikyti tinklalapį.
• Ketvirta, tie pinigai taip pat yra skiriami forumui tobulinti. Pvz. kaip tas naujas facebook tipo chatas (kurį beje mato tik tapatybę patvirtinę nariai) - jis tikrai nebuvo nemokamas. Mano žiniomis už jį reikia mokėti periodiškai.

Jaučiuosi, lyg po svetimas kišenes landžioju :blink:

Beje apie patį pasiūlymą:

Atsiųs tas "kodų korteles" el-paštu, tai lygiai taip pat sukčiai suras būdą įsilaužti į e-paštą (kai žmonės ant tiek patiklūs, kad pakeistų savo uzdarbis.lt paskyros el-paštą į kažkokį @inbox.lt, tai nenustebčiau jei savo el. pašto slaptažodį atskleistų scameriams).. SMS verifikavimas yra geriausia idėja.

Galbūt sulauksim dar laikų kada šių dienų karta įsisavins mindset'ą 'duoti-gauti' ir tokios diskusijos atrodys mažū mažiausiai keistos ir nesuprantamos :) amen

O kokia numatoma tokio patvirtinimo kaina?

Tiesą sakant, galvoju apie SMS patvirtinimą kaip apie nemokamą paslaugą, tik dar anksti apie tai kalbėti neištyrinėjus visų SMS siuntimo galimybių (ir jų kaštų) bei neapskaičiavus potencialaus vartotojų (SMS žinučių per dieną) skaičiaus. Paprasčiau tariant, tik žinant, kiek viskas kainuos, bus galima nuspręsti, ar užteks lėšų tai padaryti nemokamu dalyku, ko aš labai norėčiau.

Man asmeniškai ne itin patinka šiuo metu taikoma asmenybės patvirtinimo politika, kai tokios funkcijos panaudojimas kainuoja 10 litų.

Man asmeniškai taip pat nepatinka, kad turiu mokėti už daugumą dalykų, kuriais kasdien naudojuosi, bet jeigu man atrodytų, kad jie nėra tų pinigų verti, aš jų ir nemokėčiau.

Kiekvieno žmogaus laikas yra kažko vertas. Jei tu sėdi darbe - tau už tą laiką moka. Jei kitas žmogus tuo pačiu metu, kai tu uždirbi pinigus, prižiūri projektą, kuriuo tu naudojiesi, - kodėl jo laikas turėtų būti nieko vertas? Man nekyla klausimas, kodėl aš turiu mokėti PayPal mokesčius, nors jų sistema - kaip ir Uždarbis.lt tapatybės patvirtinimas - taip pat yra automatizuota ir tiesiogiai nesurišta su darbo valandų skaičiumi.

Čia kažkokia vidinė dalies žmonių problema Lietuvoje bandant suvokti, kad egzistuoja mokamos paslaugos. Vakaruose niekam nekyla tokių klausimų.

Vienintelis atvejis, kuriuo tai pateisinčiau, būtų tai, jei tapatybę patvirtinę nariai forume visiškai nematytų reklamos.

Esu rašęs, kad tapatybės patvirtinimas yra tapatybės patvirtinimas ir tu moki už tapatybės patvirtinimą, o ne už kažką daugiau, nors patvirtinus tapatybę kiekvienam žmogui sumokėti pinigai iškart grąžinami tokios pat vertės nemokamu savo skelbimo prisegimu forume.

Žymiai anksčiau nei atsirado tapatybės sistema, kiekvienas narys šiame forume (nesvarbu, ar pasitvirtinęs tapatybę ar ne) savo asmeniniuose nustatymuose galėjo (ir vis dar gali) visas reklamas lengvai išjungti. Tiesą sakant, 10 mėnesių (iki rugsėjo, 2011) Uždarbis.lt apskritai nebuvo jokios reklamos niekam, bet galiausiai nusprendėme, kad su didesniu biudžetu galėsime nuveikti daugiau.

Tad galėtume perimti dalį geros jų praktikos. Prisiregistravusiam vartotojui būtų galima sugeneruoti virtualią "kodų kortelę".

Kaip jau parašė Justas, tai nepatikima. Dažniausiai, jei jau sužino nario Uždarbis.lt slaptažodį, vagis žino ir el. pašto. Kodų kortelės veiktų tada, jei jas galėtum kiekvienam asmeniškai įteikti, bet paprastu paštu po visą pasaulį (kur išsibarstę nariai) jų dabar juk nieks nesėdės ir nesiuntinės.

O aš dar vieną šiokį tokį turiu pasiūlymą, kuris yra tikrai paprastesnis už visus išvardintus. Jeigu sukūrus tokią funkciją, kad paskyros savininkas galėtų matyti IP adresus, kuriais buvo jungtasi į jo anketą. IP adresų nebūtų galima ištrinti, panaikinti ir t.t. Vartotojas pamatęs IP adresą, kuriuo nebuvo naudojęsis ar pnš., iškart galėtų pranešti administracijai ir daryti išvadas dėl savo paties slaptažodžių ar kompiuterio saugumo. Kadangi dabar yra tik ši funkcija, jog gali matyti savo praeitą prisijungimo laiką. (:

O aš dar vieną šiokį tokį turiu pasiūlymą, kuris yra tikrai paprastesnis už visus išvardintus. Jeigu sukūrus tokią funkciją, kad paskyros savininkas galėtų matyti IP adresus, kuriais buvo jungtasi į jo anketą. IP adresų nebūtų galima ištrinti, panaikinti ir t.t. Vartotojas pamatęs IP adresą, kuriuo nebuvo naudojęsis ar pnš., iškart galėtų pranešti administracijai ir daryti išvadas dėl savo paties slaptažodžių ar kompiuterio saugumo. Kadangi dabar yra tik ši funkcija, jog gali matyti savo praeitą prisijungimo laiką. (:

Gal ir kažkiek saugiau būtų, bet jeigu nebūsi prisijungęs porą dienų, jau gali būti ir įvykdyta keletas apgavysčių.

Be SMS pranešimo, dar galima būtų padaryti email pranešimą, jeigu jungiasi iš kito IP adreso, iškarto ateitų į pašto dėžutę emailas:

Į jūsų paskyrą buvo prisijungta iš kito IP adreso, negu įprastai: <IP>

Jeigu tai ne jūs prisijungėte, spauskite šią nuorodą, kuri atjungs įsilaužėlį ir pakeis jūsų slaptažodį:

<Nuoroda>

Ir paspaudus ant tos nuorodos, būtų atjungiamos visos sesijos (t.y. visi žmonės prisijungę prie tos paskyros) ir būtų sugeneruojamas naujas slaptažodis ir atsiunčiamas el. paštu.

Man tai būtų naudinga, kadangi naudoju Gmail notifier, ir tik gavus laišką darbalaukyje pasirodo pranešimas apie naują laišką.

Arba elementariausia apsauga (kurią yra papraščiausia padaryti ir apsaugotų nemažą dalį narių):

Padaryti pasirinktį:

[  ] Neleisti prisijungti iš kitų IP adresų, išskyrus:
[Teksto laukelis, kur galima surašyti iki 5 (ar daugiau) IP adresų]

Čia tiems nariams, kurie lankosi uždarbyje visada iš to pačio / tų pačių kompiuterių.

Patyrusiam programuotojui manau prireiktų 10min padaryti tokią "sistemą".