Krade Vám někdo identitu?
Protože si Petr Weida prodloužil prázdniny, našel se dobrovolník, který za
něj převzal komentátorskou řeholi a ujal se psáti
komentáře pod jeho jménem. Petr ale o tuto laskavost nestojí a
přemýšlí, jak se proti tomu bránit.
Pokud se za Vás někdo vydává, je dosti pravděpodobné, že tak nečiní ve jménu Vašeho dobra. Naopak, pokusí se pošpinit Vaši pověst. Jak tedy zjistit, jestli je autorem komentáře skutečně ten, kdo je pod ním podepsán?
V mnoha případech je podvrh evidentní. Při pohledu na komentář s textem „Freefoto, lolita, sex, výjmečné porno s Hrubešovou, Brožovou a Kobzanovou“ podepsaný Petrem Pixy Staníčkem, je každému hned jasno. Jazykoznalec Pixy by nikdy nenapsal „výjmečné“ namísto správného „výjimečné“.
Ale ne vždy je situace tak očividná. Proto by vůbec nebylo špatné vymyslet způsob, jak snadno ověřit autorství komentáře. Zveřejnění IP adresy komentátora podle mě nic neřeší. Čtenář stejně neví, jakou IP má očekávat. Navíc IP adresy se (ať už ty právé nebo falešné) dnes mění jako na běžícím pásu, třeba když jste připojeni přes mobilní zařízení.
A co registrace pod heslem na serveru, kde komentujete? To je komplikované. Jak pro komentátory, tak pro programátory serveru. Registrovat se na každém serveru zvlášť se nikomu chtít nebude a stejně tak tvůrcům webů se nebude chtít nic takové programovat (tedy pokud to už jejich systém dávno neumí). Řešení by tedy mělo být co nejjednodušší pro programátory i pro uživatele.
Takový nápad
Napadl mě takový celkem jednoduchý způsob, jak by bylo možné identitu ověřovat. Je to zatím jen nástin myšlenky, ale třeba se z toho něco vyklube:
- Na serveru, kde posíláte komentář, se přidá políčko heslo
- Po odeslání komentáře server heslo zašifruje (nebo vytvoří HASH, např. MD5). Pokud ukládá do cookies Vaše údaje jako je jméno, e-mail, url atd., uloží i heslo (samozřejmě v té zašifrované podobě).
- A nyní bude u každého komentáře, u něhož bylo heslo zadáno, přídán odkaz na centrální server, který identitu ověří. V odkazu bude uvedeno nick a onen hash.
- Ověřovací server se podívá do databáze, jestli údaje odpovídají. Předím by se měl pokusit odstranit ze jména diakritiku.
- Odkaz na centrální server by mohl být implementován formou obrázku a server by vracel malou informační ikonku.
Tak co, domyslíme to a naprogramujeme? Nebo už něco takového existuje?
Komentáře
Jiří Macich ml. #1
Já, když chci někoho usvědčit ze lži a dokázat, že to opravdu, ale opravdu nejsem já, tak mám docela dobrý trumf. Pevnou IP a to mám GPRS. Přesně nevím, co si tedy těmi mobilními připojeními myslel. Tu prostě nikdo jiný nemá, je jen moje a basta. Na druhou stranu mohu sám sebe relativně zamaskovat, když změním APNko …
Nejhorší je vydávání se za Daniela Dočekala z Pooh. Za něj se vydává snad půl internetu 😉
No a různá chráněná jména? Nic neřeší. Za mě se jednou někdo vydával, že se místo Jiří Macich ml. podepsal jako Jiři Macich ml. Vidíte rozdíl? Je tam … čárka nad I chybí, je tam tečka.
rony #2
existuje: https://web.archive.org/…ekey.com:80/ a mam pocit, ze existuje aj nejaka dokumentacia k implementacii toho systemu.
vcelku sa mi uroven toho projektu pozdava, je tam dokonca moznost mat „stranku“ #stary-odkaz-http://profile.typekey.com/ron…
Ak by totiz niekto zacal uvazovat o programovani niecoho podobneho, mal by zvazit:
David Grudl #3
#1 Jiří Macichu ml., najít rozdíl mezi Jiří Macich ml. a Jiři Macich ml. by určitě šlo, měla by to být dokonce klíčová vlastnost systému. Neřeknu přesně, na jakém principu by měla pracovat (vyhodnotit podobnost řetězců? nebo test na klíčovou část ‚macich‘?)
Ale je jasné, že takto fungující systém by šlo provozovat jen regionálně, tedy např. v ČR a Slovensku. Aby se nicky neopakovali.
#2 rony, TypeKey jsem si vyzkoušel, bohužel zatím nemá podporu mimo MovableType.
K těm bodům:
rony #4
#3 Davide Grudle, Mne sa zda TypeKey dobre premysleny. Ale je to na prevadzkovateloch komentarov – ak si Zive povie, ze take nemusi, tak nemusi. Ak si ja poviem, ze nechcem komentare a chcem iba trackback, tak to vsetko je moja vola. Fakt je ten, ze takmer vsetci svojim sposobom chceme nejaku odozvu od citatelov a komentare vo forme aka existuje su najjednochsim moznym riesenim. Vsetko ostatne naviac nad puhy form s 3 kolonkami je uz skomplikovanie publikovania komentarov.
David Grudl #5
Tak jsem našel technickou dokumentaci k TypeKey. A zároveň zjišťuju, že TypeKey není tím jednoduchým systémem, který mi potvrdí indentitu komentujícího (například Jiří Macich ml. vs. Jiři Macich ml.) Jeho cíle mi připadají trošku jiné.
Simon Grimmich #6
Ale když někdo nemá naprosto jedinečné jméno (já naštěstí ano;-) – řekněme Jan Novák, když budou dva Nováci zvyklí se podepisovat jako Jan Novák, asi není žádné řešení, jak je odlišit (alespoň ze strany serveru).
JitkaCL #7
#3 Davide Grudle,
ad 1) Ano, tohle reseni mi pripada nejjednodussi. Jeste jednodussi by bylo tento system propojit s nejakym diskuznim servrem, protoze ten je na registrace uzivatelu uz zarizeny a dotazy ohledne identity ho vzhledem k beznemu provozu nijak zvlast nezatizi. Na druhou stranu mnohem zajimavejsi by bylo zakovy system propojit s necim takovym, jako jsou weblogy.cz, nebo kratce.cz. At z toho lidi taky neco maji, kdyz uz by museli nekam klikat kvuli registraci…
ad 3) Asi by bylo nejlepsi tohle probrat s provozovateli nejvetsich blogsystemu a kdyz by se do toho pustili oni, tak dalsi by se uz pak pridali.
BTW Rekla bych, ze ten system bude znacne narocny na obsluhu. Zakladani ruznych FakeID a reseni problemu se shodnym jmenem neni nic, co by vyresil i seberafinovanejsi kod. V tomto bych videla ten nejvetsi problem…
rony #8
Ano ale v tom pripade je riesenie jednoduche: zatvorme kramiky s komentarmi a pod clankami dajme odkaz:
„a komentare mi piste po kliknuti na tento odkaz“
do nejakeho servra, ktory „hostuje“ komentarovy system.
Co a aky nazor na to mozu mat ludia prevadzkujuci svoje stranky a komentatori to fakt neviem 😉
JitkaCL #9
#8 rony,
Jo, nebo se tam muze rovnou davat link na nejakou putyku, kde se to vsechno probere, vid?:-)
Mno, na takovy „komentarovy“ system nemusis hazet link, ale muzes ho zadratovat primo do stranek. Nejak ale nechapu, jak by to vyresilo dany problem. I kdyby se k takove obludnosti pouzival jen jeden „komentarovy“ system, tak zase nevim, jestli by se nasel nekdo, kdo by ho mel zajem provozovat.
David Grudl #10
mám pocit, že se vytrácí původní myšlenka. Tak jen připomínám, jde o systém, který odpoví na otázku: „fakt tenhle komentář napsal TEN Rony?“
#6 Simone Grimmichu, Simone, podívej se na to z pohledu uživatele. Pokud si dnes založí nový blog nějaký Jiří Bureš (což není neobvyklé jméno), těžko jej budeš v komentářích rozeznávat od Jiřího Bureše z conBLOGu. Jedinečnost podpisu by tedy měla být zájmem každého uživatele. Tady by bylo výhodou omezení systému jen na ČR a SR, což by minimalizovalo výskyt duplicit.
#7 JitkaCLe, Problém s registrací nevidím ani tak v programování (to je fakt za den-dva hotové), ale spíš v „sociálním zabezpečení“. Je přece dost pravděpodobné, že prvně zaregistrované budou Ty falešné JitkyCL a skutečné budou mít problém. Tohle by vážně obsluha nezvládla, to musí zvládnout program. Ale jak, že?
rony #11
#9 JitkaCLe, aspon niekto to berie s humorom 😉 tym je jasne dane najavo, ze sucasny stav proste ostane 😉
#10 Davide Grudle, jednotny komentarovy system by si uz mohol dovolit centralne prihlasovanie komentujucich a tym padom by sa virtualna identita dost tazko falsovala. Koniec koncov ved aj ten TypeKey robi to iste len z ineho konca, proste do systemu sa ti dostane clovek az po autorizacii. Ide len o to proces autorizacie co najmenej stazit navstevnikovi.
Neverim, ze by ktokolvek chcel prevadzkovat komplexny komentovaci system s rozhranim pre dalsie stranky. Takze schodnejsi sa mi zda iba centralny system, ktory urobi aspon tu autorizaciu 😉
JitkaCL #12
#10 Davide Grudle, Ale ona by to obsluha zvladla. Stejne tak to musi obsluha zvladat na diskuznich servrech. Na tech je to sice o neco jednodussi, protoze se na nich daji vyhledat prispevky dane identity a jeji IP, ale jinak je to v principu stejne. Blogeri se navzajem znaji, prave tak jako lidi, co chodi na ruzne DS. V pripade pochybnosti se da snadno overit, jestli jde o nejaky podvrzeny nick, nebo ne.
Vilém Málek #13
Řekl bych, že systém pro jednoznačnou identifikaci fyzické osoby již existuje, v podobě certifikovaného elektronického podpisu. Řeší vše zde diskutované, ale pochybuji, že by ho lidé začali používat, pokud by jej nedostávali asi tak, jako občanku nebo rodné číslo. Další podstatnou překážkou je, že lidé z nějakého obskurního důvodu obecně velmi neradi na internetu prozrazují svou identitu ;–)
David Grudl #14
Jednoznačná identifikace fyzické osoby, systém s obsluhou a jednotný komentářový systém je přesně to, oč tu NEběží 🙂
Záměrem není zjistit, jestli je autorem komentáře #13 Vilém Málek skutečně občan Vilém Málek, který má toto jméno v občanském průkazu, ale jestli je to TEN Vilém Málek z Interval.cz. A je úplně jedno, jestli jde o pravé jméno nebo nick.
Budování jakýchkoliv centrálních komentářových systému je (jak tu správně zaznělo) naprostá utopie. Vůbec nemá smysl dál tímto směrem uvažovat.
Ale pokud nejsou podvržené komentáře příliš rozšířeným jevem, nebude tu ani potřeba jim předcházet…
Vilém Málek #15
#14 Davide Grudle, Jenže ono nelze zajistit žádným jiným způsobem, než identifikací fyzické osoby, že tenhle konkrétní Vilém Málek je skutečně ten pitomec z Intervalu, který naprosto nechápe, oč tu vlastně běží 😉
Tento článek byl uzavřen. Už není možné k němu přidávat komentáře.