Identitet na web-u

[marinowski]

Citat:

"a ne moze, vi ste tog i tog dana pretrazivali aranzmane za Kubu i Tunis, pa ste nam sumnjivi." Ili internacionalniji scenario, da odes npr. u banku da uzmes polisu zivotnog osiguranja, a oni ti kazu ne moze jer ste posecivali sajtove o extremnim sportovima ili nesto slicno..

E, ovo ne moze. Svako ima pravo samo na podatke koje je sam pokupio od korisnika. Govorim to iz licnog iskustva. Radimo sa milionima e-mail adresa koji dolaze sa raznih izvora, radi se o stotinama demografskih informacija sa raznoraznih izvora, i podaci se nikada, naglasavam nikada ne razmenjuju. Ako si na jednom mestu prijavio telefon, a kasnije na drugom mestu ispravio telefon, prirodno je da se i na prvom mestu ispravi telefon. Ali ako si na drugom mestu prijavio da pusis drinu bez filtera, a taj podatak nije bio pitan na prvom mestu, nema sanse da ti prvi servis sazna tu informaciju.

One koji rade sa tim podacima ne interesuju bas vasi licni podaci, njih interesuje samo 'oblak' podataka sa slicnim karakteristikama, radi racunanja trendova, izvlacenja analiza zbog daljnjih koraka, te targetovanja odredjene grupe korisnika novim contentom.

[bluesman]

Citat:

Originalno napisao bojan_bozovic

@bluesman
Ne shvatas, prvo ce to biti nocna mora za bezbednost. Ja odredjujem na kome cu sajtu ostaviti svoje licne podatke. Meni ne treba nikakva pomoc da izbegnem phishing, a novi browseri ionako imaju dobru zastitu od toga.

Mislim da ti ne shvatas celu pricu, ali necemo da prebacujemo loptice

Onda (slučajno) zaboravljaš jednu važnju činjenicu: jedno si "ti" a drugo su milioni drugih korisnika koji jedva da znaju šta se od njih traži na nekom sajtu i nemaju pojma o bezbednosti. Vidim da mnogi koji su pisali na ovoj temi pričaju iz svog ugla, nekoga ko se profesionalno bavi web-om, a ne iz ugla prosečnog korisnika koji je daleko ispod zadovoljavajućeg nivoa znanja.

Jedno rešenje je da sam servis vodi računa o sajtovima, odnosno da sajt mora da se prijavi i dobije neku zvaničnu potvrdu, sertifikat da je "bla-bla verified" i slično. To je obično i dobar publicitet za sam sajt.

Zašto ti recimo, na svom globalnom identitetu, ne bi mogao da definišeš sajtove kojima dozvoljavaš ne samo pristup podacima nego i koje podatke dozvoljavaš da pročitaju. Zašto sam servis, na osnovu sajta koji traži podatke, nebi mogao da odluči šta da servira. Napravi se klasifikacija sajtova... klasa A dobija sve podatke koje traži a tu su samo posebni sajtovi... klasa Z može da dobije samo email adresu.

Samim tim, ti odmah vidiš u koju klasu spada neki sajt, skoro kao neki rejting.

Zašto korisnik nebi mogao da definiše nekoliko email adresa i da odluči kojoj klasi sajtova ide koja adresa?

Citat:

Originalno napisao bojan_bozovic

Ovako ce svako moci da dodje do vise informacija nego sto treba (hint: DPT do moje adrese, broja telefona, itd.) osim ako ne odredjujem posebno pristup za svaku informaciju za svaki sajt, a lakse je upisati username BB i nesto kratko kao pass, ionako ce browser zapamtiti. Zaboga, ja imam sajt sa loginom, koliko ima fake e-mail adresa ne pitaj, ljudi umeju da se paze, ne brini se. Browser ionako pamti lozinke.

To sa browserom radi samo u situaciji kada si sam za računarom. Zamisli na poslu, gde ima još 20 ljudi ti da čuvaš sve passworde u browseru? Vrlo glupo.

Sajt ima svoj neki key, user ima svoj key. Uspešno je samo ako se dobije match kod oba, čime se potrvđuje da je i sajt koji traži podatke, kao i user koji obezbeđuje podatke, validan.

Citat:

Originalno napisao bojan_bozovic

Ko god pokrene servis, mora i biti profitabilan, nekako zaraditi. Dalje, monopol na lozinke nije dobra stvar. To ce biti raj za phishing, jer ne moras imati poverenje posetioca da dodjes do njegovih podataka (to moze da se spreci opet sa dozvolama, ali podesavanje istih je veci problem nego staviti informaciju za username i pass)

Ti ideš klasično srpskom logikom: monopol, prevare, ko drugi od toga ima koristi... pa sve vreme pričamo o servisu koji IMA poverenje korisnika, a ne "mali perica napravio sajt pa hajde, po srpski, da drpamo narod".

Citat:

Originalno napisao bojan_bozovic

Saobracaj: Ocekujes da webmasteri pune neciji dzep? Login facility svako moze napraviti, zar stvarno mislis da je webmaster glup da anulira vrednost svoje promocione kampanje i SEO, pa da nekom passport sajtu da sav svoj saobracaj?

Kakav saobraćaj? Ne razumem. Ne šalješ ti ljude tamo nego imaš opciju da se kod tebe uloguje čovek koji ima definisan identitet. On unese svoj username, password i preko nekog key se proverava identitet. Nikoga ti ne šalješ, ti ostvaruješ direktnu konekciju sa servisom, šalješ unete podatke i primaš rezultat. Korisnik ne odlazi sa tvog sajta.

Citat:

Originalno napisao bojan_bozovic

Recimo, passport sajt, bilo koji, bi prakticno meni trebao da placa uslugu koju ja cinim passport sajtu - login tamo, logout tamo, reklame tamo, saobracaj tamo. Inace, koju ja vajdu imam od passport sajta? Bas nikakvu. Ko hoce, registrovace se kod mene, ko nece, cao. A to vazi jos i vise za vrlo veliki sajt, koji milione zaradjuje.

Ne, on tebi čini uslugu. Prvo što potvrđuje da su podaci validni, drugo što ti postaješ verifikovan sajt koje može da se veruje, samim tim će ljudi slobodnije koristiti tvoj sajt a ne strepeti kad god treba da kliknu na submit. Zato i kažem da ne gledaš "celu sliku".

[bluesman]

Citat:

Originalno napisao ivanhoe

To su sve vrlo pipave stvari...

Slažem se

[bojan_bozovic]

@bluesman

master password, anybody? Moze ne 20 nego sto ljudi da koristi moj komp. Dalje, browseri imaju ili ce dobiti anti-phishing npr. NN8, IE7, dalje, ti nisi uzeo u obzir cinjenicu da mnogo ljudi sasvim dobro zna da se cuva od phishinga (milijarde koriste net, milioni su budale, to razumem), dalje, kao i cinjenicu da veliki sajt nece zeleti da tek tako reklamira i promovise neki passport servis za dzabe (hint: google nece koristiti passport.net). Kad MS nije uspeo sa passport.net nece niko (dalje idu hintovi: ide mala reklamica za passport.net ili MS sto nijedan veliki sajt, a posebno Google ili Yahoo sebi nece da dozvole).
Pisi propalo.
Phishing se mnogo preuvelicava, BTW, znas li ikoga ko je naseo na phishing? Ima takvih, medjutim (jedan u 10000 ili 100000 a to je 0.1 ili 0.01 promila). To su luzeri i gotovo.
Pazi, pri phishingu korisnik najcesce nije preko SSL, sto i zna (nema mali katanac i/ili zuti addressbar i/ili kod NN8 zeleni stit na tabu, a ako jeste preko SSL zato sto sertifikat nije validan dobija ogromno upozorenje, i ako to ignorise nije bolje ni zasluzio). Dalje, uz servis passport.net ili slican koji drzi sve podatke za sve sajtove, takav koji nasedne na phishing ima da se upropasti za sva vremena.

[bluesman]

Pa da niko ne naseda, niko se nebi ni bavio time, niti bi sajtovi obracali pažnju na to. Ponovo pričaš iz ličnog iskustva a ne gledaš širu sliku.

Evo primera sa Romance Cafe. Neka devojka se navodno muva se nekim tipom i posle par meseci dopisivanja on odluči da je pozove da dođe. Ona (naravno) nema za avioinsku kartu pa on, zaljubljeni džentlmen, šalje pare i to je bio njihov poslednji kontakt. Posle mi čovek kuka: "kako da je nađem?". Šta da mu kažem? Sorry, što si glup? Šta će čovek kada se zaljubio

Ja bih tada voleo da sam imao neki tool da mogu da pronađem tu osobu, neki globalni identitet i abuse prijava bi sigurno pomogla.

Onda, one situacije kada se registruju pa kažu da žive u nemačkoj, a u stvari čuči negde u nekom kućerku na klizištu u Umci i peca naivne...

Ono što hoću da ti kažem je da bi tako nešto ne samo pomoglo korisniku, nego i vlasnicima sajtova pa i svim drugim korisnicima. Ja bih na primer dozvolio da se uloguju na 2 načina:

1. standardno
2. preko tog identiteta (moramo da se dogovorimo za neko ime )

U oba slučaja bi imao sva prava, samo što bih za drugi slučaj, pored njegovog profila stavio neku markicu tipa "Autorizovan" ili "ovaj bar ne laže ko je i odakle je "...

[bojan_bozovic]

U oba slucaja racunaj da se ne bi ni logovao na tvoj sajt. Sta ti imas da proveravas jesam li iz Krusevca ili Apatina? Sta ti to treba da znas?

Dalje, kao sto rekoh phisheri gadjaju na slepo, neki racun u Deutsche Bank - nemas racun u DB - nema problema, a ovako bi znali sta da phishuju i to bi bilo strahovito.

[bluesman]

Bojane, naravno da je bitno. Ti registracijom potvrdjujes da si dao tacne podatke - za sve one koji su obavezni. U slucaju davanja laznih podataka ja imam pravo da ti prekinem clanarinu. A upravo sam ti objasnio kako to moze da se zloupotrebi.

Podaci koji nisu obavezni nemaju nikakvog uticaja. Na vecini "VELIKIH" dating sajtova MORAS da popunis sve, inace ne mozes postati clan. Oni naravno imaju iskustva o kojima ti samo mozes da nagadjas i da se pitas "sta ti to treba da znas?". Nista nije za dzabe.

[bojan_bozovic]

Jos samo da shvatis da ljudi koji nasedaju na phishing ne cine to zato sto je Internet nesiguran... Vec zato sto je to malo komplikovano za njih Jos ce sa globalnim passportom da se unesrece nacisto

Dalje, sto se tice tvog clana koji je nekoj zeni na lepe oci dao pare nizasta... E, pa nemam komentar... Mislio sam da tu skolu prodje svako pre osamnaeste...

[srdjevic]

E, pa da se i ja malo ukljucim:
razmisljao sam o takvom sistemu pre par godina, pa je red i da se ukljucim u raspravu. Nisam hteo ranije jer nisam hteo da iznosim stavove dok se tema malo ne "zakuva", sto se definitivno i desilo. :-)
A i hteo sam prvo da se uverim da mislimo na iste (ili bar slicne) stvari.

OK, o sigurnosti, phishingu i ostalim smicalicama svi znamo, svi se bavimo njima, i zato (sto kaze blues) nismo bas idealni "korisnici interneta". Ali ajde malo da se odmaknemo od strane developera i da sagledamo celu ovu pricu iz jednog drugog ugla. Prvenstveno, ZAKONI! (fuj, znam, niko ih ne voli)

Moze li neko da kaze u cemu je razlika izmedju: Google/MS/Yahoo passporta i ovoga sto prica blues? Po meni, razlika je upravo u tome sto su to FIRME, znaci kompanije, koje imaju svoje sajtove/servise. Blues ovde prica o nekom "prstenu", ringu, kako god hocete, izmedju mnogo kompanija, a po mom misljenju to je VRLO tesko (skoro neizvodljivo). Zasto? Zato sto ako imas firmu i gomilu servisa, ti si JEDINI subjekat koji raspolaze tim podacima. Zato ove firme i imaju svoje passporte. Sta se desava kad se povezu 7 firmi u taj prsten? Znate li koliko tu novih copyright gluposti, license agreementa, disclosuresa i ostalih vratolomija tu mora da se promeni? Ove firme (G/MS/Y) nikome ne daju vase podatke, ostaju uvek kod njih (iskreno se nadamo, jeli). A u ovom slucaju, to ne pije vodu. Zakoni! Sta je onda Privacy Policy (ili sta-god) uopste? Potrebna su velika crvena slova i hiljadu obavestenja da bi se PRAVNO ZASTITIO takav prsten od svih problema koji mogu da nastanu. Tu sam ja odustao od svega toga, jer nemam svoje (bar ne javno dostupne) sisteme/servise... :-(

A koliko ljudi uopste cita takve gluposti po sajtovima (mislim na zakonske svtari)? Mi smo jos i "znatizeljni", pa i citamo. Ali iskreno mislim da preko 90% korisnika ne cita...

Izvinjavam se jer trenutno nemam vise vremena da nastavim pricu, imam o ovome da napisem joj sto-sta, ali treba i raditi nesto produktivno. :-)
U sv.slucaju, mislim da ne treba zanemarivati pravnu stranu celog ovog problema, i hteo bih da bar malo paznje obratimo i na to...
Nadam se da ce jos neko da se nadoveze na ovu perspektivu.

Nastavice se, nadam se... ;-)

[srdjevic]

Samo da se nadovezem na pricu, definitivno je pohvalno, ispravno i logicno da ovakve firme imaju svoje passporte. Ipak (sto neko lepo rece), nije to Perica koji dere ljude. Ovima to i treba!

A za izradu takvih sistema, mislim da smo mi samo sitna riba, nazalost... :-(