Na navigaci | Klávesové zkratky

Krade Vám někdo identitu?

Otisk prstu Protože si Petr Weida prodloužil prázdniny, našel se dobrovolník, který za něj převzal komentátorskou řeholi a ujal se psáti komentáře pod jeho jménem. Petr ale o tuto laskavost nestojí a přemýšlí, jak se proti tomu bránit.

Pokud se za Vás někdo vydává, je dosti pravděpodobné, že tak nečiní ve jménu Vašeho dobra. Naopak, pokusí se pošpinit Vaši pověst. Jak tedy zjistit, jestli je autorem komentáře skutečně ten, kdo je pod ním podepsán?

V mnoha případech je podvrh evidentní. Při pohledu na komentář s textem „Freefoto, lolita, sex, výjmečné porno s Hrubešovou, Brožovou a Kobzanovou“ podepsaný Petrem Pixy Staníčkem, je každému hned jasno. Jazykoznalec Pixy by nikdy nenapsal „výjmečné“ namísto správného „výjimečné“.

Ale ne vždy je situace tak očividná. Proto by vůbec nebylo špatné vymyslet způsob, jak snadno ověřit autorství komentáře. Zveřejnění IP adresy komentátora podle mě nic neřeší. Čtenář stejně neví, jakou IP má očekávat. Navíc IP adresy se (ať už ty právé nebo falešné) dnes mění jako na běžícím pásu, třeba když jste připojeni přes mobilní zařízení.

A co registrace pod heslem na serveru, kde komentujete? To je komplikované. Jak pro komentátory, tak pro programátory serveru. Registrovat se na každém serveru zvlášť se nikomu chtít nebude a stejně tak tvůrcům webů se nebude chtít nic takové programovat (tedy pokud to už jejich systém dávno neumí). Řešení by tedy mělo být co nejjednodušší pro programátory i pro uživatele.

Takový nápad

Napadl mě takový celkem jednoduchý způsob, jak by bylo možné identitu ověřovat. Je to zatím jen nástin myšlenky, ale třeba se z toho něco vyklube:

  1. Na serveru, kde posíláte komentář, se přidá políčko heslo
  2. Po odeslání komentáře server heslo zašifruje (nebo vytvoří HASH, např. MD5). Pokud ukládá do cookies Vaše údaje jako je jméno, e-mail, url atd., uloží i heslo (samozřejmě v té zašifrované podobě).
  3. A nyní bude u každého komentáře, u něhož bylo heslo zadáno, přídán odkaz na centrální server, který identitu ověří. V odkazu bude uvedeno nick a onen hash.
  4. Ověřovací server se podívá do databáze, jestli údaje odpovídají. Předím by se měl pokusit odstranit ze jména diakritiku.
  5. Odkaz na centrální server by mohl být implementován formou obrázku a server by vracel malou informační ikonku.

Tak co, domyslíme to a naprogramujeme? Nebo už něco takového existuje?

Komentáře

  1. Jiří Macich ml. http://blog.macich.net #1

    avatar

    Já, když chci někoho usvědčit ze lži a dokázat, že to opravdu, ale opravdu nejsem já, tak mám docela dobrý trumf. Pevnou IP a to mám GPRS. Přesně nevím, co si tedy těmi mobilními připojeními myslel. Tu prostě nikdo jiný nemá, je jen moje a basta. Na druhou stranu mohu sám sebe relativně zamaskovat, když změním APNko …

    Nejhorší je vydávání se za Daniela Dočekala z Pooh. Za něj se vydává snad půl internetu ;-)

    No a různá chráněná jména? Nic neřeší. Za mě se jednou někdo vydával, že se místo Jiří Macich ml. podepsal jako Jiři Macich ml. Vidíte rozdíl? Je tam … čárka nad I chybí, je tam tečka.

    před 12 lety | reagoval [3] David Grudl
  2. rony #2

    existuje: http://www.typekey.com a mam pocit, ze existuje aj nejaka dokumentacia k implementacii toho systemu.

    vcelku sa mi uroven toho projektu pozdava, je tam dokonca moznost mat „stranku“ http://profile.typekey.com/ron…

    Ak by totiz niekto zacal uvazovat o programovani niecoho podobneho, mal by zvazit:

    1. ako to integrovat do existujucich systemov
    2. ci nie je lepsie urobit to kompatibilne s podobnym projektom
    3. ci to vobec ma vyznam ;-)
    před 12 lety | reagoval [3] David Grudl
  3. David Grudl http://davidgrudl.com #3

    avatar

    #1 Jiří Macichu ml., najít rozdíl mezi Jiří Macich ml. a Jiři Macich ml. by určitě šlo, měla by to být dokonce klíčová vlastnost systému. Neřeknu přesně, na jakém principu by měla pracovat (vyhodnotit podobnost řetězců? nebo test na klíčovou část ‚macich‘?)

    Ale je jasné, že takto fungující systém by šlo provozovat jen regionálně, tedy např. v ČR a Slovensku. Aby se nicky neopakovali.

    #2 rony, TypeKey jsem si vyzkoušel, bohužel zatím nemá podporu mimo MovableType.

    K těm bodům:

    1. Jak je napsané v článku, implementace musí být co nejjednodušší. A myslím, že takové mé řešení je.
    2. Pokud bude TypeKey skutečně dobrý, nemá smysl to programovat znovu, to je jasné.
    3. Je to otázka, na kterou neumím odpovědět. Stálo by to za anketu, zeptat se komentujících i autorů webů. Bohužel La Trine je (zatím) neznámý server, vyhlašovat anketu zde nemá smysl. Ale pokud tak učiní někdo proslulejší, budu jedině rád
    před 12 lety | reagoval [4] rony [7] JitkaCL
  4. rony #4

    #3 Davide Grudle, Mne sa zda TypeKey dobre premysleny. Ale je to na prevadzkovateloch komentarov – ak si Zive povie, ze take nemusi, tak nemusi. Ak si ja poviem, ze nechcem komentare a chcem iba trackback, tak to vsetko je moja vola. Fakt je ten, ze takmer vsetci svojim sposobom chceme nejaku odozvu od citatelov a komentare vo forme aka existuje su najjednochsim moznym riesenim. Vsetko ostatne naviac nad puhy form s 3 kolonkami je uz skomplikovanie publikovania komentarov.

    před 12 lety
  5. David Grudl http://davidgrudl.com #5

    avatar

    Tak jsem našel technickou dokumentaci k TypeKey. A zároveň zjišťuju, že TypeKey není tím jednoduchým systémem, který mi potvrdí indentitu komentujícího (například Jiří Macich ml. vs. Jiři Macich ml.) Jeho cíle mi připadají trošku jiné.

    před 12 lety
  6. Simon Grimmich http://javascript.webz.cz/weblog.php3 #6

    Ale když někdo nemá naprosto jedinečné jméno (já naštěstí ano;-) – řekněme Jan Novák, když budou dva Nováci zvyklí se podepisovat jako Jan Novák, asi není žádné řešení, jak je odlišit (alespoň ze strany serveru).

    před 12 lety | reagoval [10] David Grudl
  7. JitkaCL http://www.lapiduch.cz/klub.php?klub=diskuzni_servry #7

    #3 Davide Grudle,
    ad 1) Ano, tohle reseni mi pripada nejjednodussi. Jeste jednodussi by bylo tento system propojit s nejakym diskuznim servrem, protoze ten je na registrace uzivatelu uz zarizeny a dotazy ohledne identity ho vzhledem k beznemu provozu nijak zvlast nezatizi. Na druhou stranu mnohem zajimavejsi by bylo zakovy system propojit s necim takovym, jako jsou weblogy.cz, nebo kratce.cz. At z toho lidi taky neco maji, kdyz uz by museli nekam klikat kvuli registraci…

    ad 3) Asi by bylo nejlepsi tohle probrat s provozovateli nejvetsich blogsystemu a kdyz by se do toho pustili oni, tak dalsi by se uz pak pridali.

    BTW Rekla bych, ze ten system bude znacne narocny na obsluhu. Zakladani ruznych FakeID a reseni problemu se shodnym jmenem neni nic, co by vyresil i seberafinovanejsi kod. V tomto bych videla ten nejvetsi problem…

    před 12 lety | reagoval [10] David Grudl
  8. rony #8

    Ano ale v tom pripade je riesenie jednoduche: zatvorme kramiky s komentarmi a pod clankami dajme odkaz:

    „a komentare mi piste po kliknuti na tento odkaz“

    do nejakeho servra, ktory „hostuje“ komentarovy system.

    Co a aky nazor na to mozu mat ludia prevadzkujuci svoje stranky a komentatori to fakt neviem ;-)

    před 12 lety | reagoval [9] JitkaCL
  9. JitkaCL #9

    #8 rony,
    Jo, nebo se tam muze rovnou davat link na nejakou putyku, kde se to vsechno probere, vid?:-)

    Mno, na takovy „komentarovy“ system nemusis hazet link, ale muzes ho zadratovat primo do stranek. Nejak ale nechapu, jak by to vyresilo dany problem. I kdyby se k takove obludnosti pouzival jen jeden „komentarovy“ system, tak zase nevim, jestli by se nasel nekdo, kdo by ho mel zajem provozovat.

    před 12 lety | reagoval [11] rony
  10. David Grudl http://davidgrudl.com #10

    avatar

    mám pocit, že se vytrácí původní myšlenka. Tak jen připomínám, jde o systém, který odpoví na otázku: „fakt tenhle komentář napsal TEN Rony?“

    #6 Simone Grimmichu, Simone, podívej se na to z pohledu uživatele. Pokud si dnes založí nový blog nějaký Jiří Bureš (což není neobvyklé jméno), těžko jej budeš v komentářích rozeznávat od Jiřího Bureše z conBLOGu. Jedinečnost podpisu by tedy měla být zájmem každého uživatele. Tady by bylo výhodou omezení systému jen na ČR a SR, což by minimalizovalo výskyt duplicit.

    #7 JitkaCLe, Problém s registrací nevidím ani tak v programování (to je fakt za den-dva hotové), ale spíš v „sociálním zabezpečení“. Je přece dost pravděpodobné, že prvně zaregistrované budou Ty falešné JitkyCL a skutečné budou mít problém. Tohle by vážně obsluha nezvládla, to musí zvládnout program. Ale jak, že?

    před 12 lety | reagoval [11] rony [12] JitkaCL
  11. rony #11

    #9 JitkaCLe, aspon niekto to berie s humorom ;-) tym je jasne dane najavo, ze sucasny stav proste ostane ;-)

    #10 Davide Grudle, jednotny komentarovy system by si uz mohol dovolit centralne prihlasovanie komentujucich a tym padom by sa virtualna identita dost tazko falsovala. Koniec koncov ved aj ten TypeKey robi to iste len z ineho konca, proste do systemu sa ti dostane clovek az po autorizacii. Ide len o to proces autorizacie co najmenej stazit navstevnikovi.

    Neverim, ze by ktokolvek chcel prevadzkovat komplexny komentovaci system s rozhranim pre dalsie stranky. Takze schodnejsi sa mi zda iba centralny system, ktory urobi aspon tu autorizaciu ;-)

    před 12 lety
  12. JitkaCL #12

    #10 Davide Grudle, Ale ona by to obsluha zvladla. Stejne tak to musi obsluha zvladat na diskuznich servrech. Na tech je to sice o neco jednodussi, protoze se na nich daji vyhledat prispevky dane identity a jeji IP, ale jinak je to v principu stejne. Blogeri se navzajem znaji, prave tak jako lidi, co chodi na ruzne DS. V pripade pochybnosti se da snadno overit, jestli jde o nejaky podvrzeny nick, nebo ne.

    před 12 lety
  13. Vilém Málek http://interval.cz #13

    Řekl bych, že systém pro jednoznačnou identifikaci fyzické osoby již existuje, v podobě certifikovaného elektronického podpisu. Řeší vše zde diskutované, ale pochybuji, že by ho lidé začali používat, pokud by jej nedostávali asi tak, jako občanku nebo rodné číslo. Další podstatnou překážkou je, že lidé z nějakého obskurního důvodu obecně velmi neradi na internetu prozrazují svou identitu ;–)

    před 12 lety | reagoval [14] David Grudl
  14. David Grudl http://davidgrudl.com #14

    avatar

    Jednoznačná identifikace fyzické osoby, systém s obsluhou a jednotný komentářový systém je přesně to, oč tu NEběží :-)

    Záměrem není zjistit, jestli je autorem komentáře #13 Vilém Málek skutečně občan Vilém Málek, který má toto jméno v občanském průkazu, ale jestli je to TEN Vilém Málek z Interval.cz. A je úplně jedno, jestli jde o pravé jméno nebo nick.

    Budování jakýchkoliv centrálních komentářových systému je (jak tu správně zaznělo) naprostá utopie. Vůbec nemá smysl dál tímto směrem uvažovat.

    Ale pokud nejsou podvržené komentáře příliš rozšířeným jevem, nebude tu ani potřeba jim předcházet…

    před 12 lety | reagoval [15] Vilém Málek
  15. Vilém Málek http://interval.cz #15

    #14 Davide Grudle, Jenže ono nelze zajistit žádným jiným způsobem, než identifikací fyzické osoby, že tenhle konkrétní Vilém Málek je skutečně ten pitomec z Intervalu, který naprosto nechápe, oč tu vlastně běží ;-)

    před 12 lety

Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.