107 replies to this topic

[skilekkineitt]

Þegar ég skráði kennitöluna mína í undirskriftalistan, þá tók ég eftir að það var engin staðfestingarkóði, eða neitt gert til að koma í veg fyrir bota. Þegar ég kaus í gær þá var hraðin á þessu gífurlegur, meiri en eðlilegt er klukkan ellefu um kvöldið. Er einhver sem kaus á sama tíma og ég í gær? Man einhver töluna? Nú er talan um 37734...

Þetta er sérstaklega hættulegt þar sem mjög auðvelt er að búa til trojan sem sér um vinnuna. Fyrst dreifa þeir sér á milli tölva og framkvæma svo upprunarlega áætlunarverkið frá síktu tölvunni. Kennitölu er hægt að falsa og til að kanna lögmæti þess þá eru ákveðnir útreikningar notaðir. Þá ætti að vera nóg að bera saman við þjóðskrá og netumferð samhliða við skráningar, ef tryggt hefði verið að manneskja hefði skráð upplýsingarnar á síðuna.

Það er hægt að hanna trojan sem nær í upplýsingar sem hann þarf áður en hann framkvæmir áætlunina sína. Þannig gætu þeir dreifst á milli tölva, sent fyrirspurn, náð í löglega kennitölu og nafn fyrir sinn upphaflega tilgang.
Einfaldast væri þó og með öllu órekjanlegra að láta þá geyma um 10000-20000 nöfn og kennitölur sem væri aðeins um eitt megabæt og minna.

Það er enginn staðfestingarkóði og þess vegna verður trúverðuleiki enginn. Það verður alltaf að kanna hvort um raunverulega manneskju sé að ræða! Mjög létt hefði verið að hafa léttar spurningar sem aðeins menn skilja! Þetta er álíka og að skilja eftir bílinn sinn, stútfullan að verðmætum, opin upp á gátt, í iðnaðarhverfi þar sem enginn sér til. Jafnvel bloggsíður eru með staðfestingarkóða.... Klúður, frá A - Ö. Nú eru þeir ekki einu sinni með email frá notendanum sem hefði getað bjargað trúverðuleika skráningarnar með því að biðja alla að senda sér bréf til staðfestingar.

Nú getur vel verið að þú lesandi góður, hafir ómeðvitandi skráð notenda inn á þessa kostningu í gegnum tölvuna þína.

Edited by skilekkineitt, 17 February 2011 - 21:22.

[Tembe]

Þegar ég kaus sjálfur þá tók ég eftir að það var engin staðfestingarkóði, eða neitt gert til að koma í veg fyrir bota. Þegar ég kaus í gær þá var hraðin á þessu gífurlegur, meiri en eðlilegt er klukkan ellefu um kvöldið. Er einhver sem kaus á sama tíma og ég í gær? Man einhver töluna? Nú er talan um 37734...

Þetta er sérstaklega hættulegt þar sem mjög auðvelt er að búa til trojan sem sér um vinnuna. Fyrst dreifa þeir sér á milli tölva og framkvæma svo upprunarlega áætlunarverkið frá síktu tölvunni. Kennitölu er hægt að falsa og til að kanna lögmæti þess þá eru ákveðnir útreikningar notaðir. Þá ætti að vera nóg að bera saman við þjóðskrá og netumferð samhliða við skráningar, ef tryggt hefði verið að manneskja hefði skráð upplýsingarnar á síðuna.

Það er hægt að hanna trojan sem nær í upplýsingar sem hann þarf áður en hann framkvæmir áætlunina sína. Þannig gætu þeir dreifst á milli tölva, sent fyrirspurn, náð í löglega kennitölu og nafn fyrir sinn upphaflega tilgang.
Einfaldast væri þó og með öllu órekjanlegra að láta þá geyma um 10000-20000 nöfn og kennitölur sem væri aðeins um eitt megabæt og minna.

Það er enginn staðfestingarkóði og þess vegna verður trúverðuleiki enginn. Það verður alltaf að kanna hvort um raunverulega manneskju sé að ræða! Mjög létt hefði verið að hafa léttar spurningar sem aðeins menn skilja! Þetta er álíka og að skilja eftir bílinn sinn, stútfullan að verðmætum, opin upp á gátt, í iðnaðarhverfi þar sem enginn sér til. Jafnvel bloggsíður eru með staðfestingarkóða.... Klúður, frá A - Ö. Nú eru þeir ekki einu sinni með email frá notendanum sem hefði getað bjargað trúverðuleika skráningarnar með því að biðja alla að senda sér bréf til staðfestingar.

Nú getur vel verið að þú lesandi góður, hafir ómeðvitandi skráð notenda inn á þessa kostningu í gegnum tölvuna þína.

Virðist vera algjört klúður.

[fleebah]

Ofstækið er svo mikið að trúverðugleikinn er mjög brothættur. Bara það að einhver skuli hafa fengið síðunni fyrir "Icesave já takk" eytt með hasti sýnir það að það er lítið tolerance fyrir lýðræðislegum vilja fólks og umræðu. Þegar svo er er brotaviljinn einbeittur.

Ég ber lítið traust til þessa. Það er lítið mál að gera samþykktarferli (með email) og það er aldrei gert í svona undirskriftasíðum. Sem er furðulegt reyndar.

[jukn]

Ofstækið er svo mikið að trúverðugleikinn er mjög brothættur. Bara það að einhver skuli hafa fengið síðunni fyrir "Icesave já takk" eytt með hasti sýnir það að það er lítið tolerance fyrir lýðræðislegum vilja fólks og umræðu. Þegar svo er er brotaviljinn einbeittur.

Ég ber lítið traust til þessa. Það er lítið mál að gera samþykktarferli (með email) og það er aldrei gert í svona undirskriftasíðum. Sem er furðulegt reyndar.

Hvað sannar email?

[fleebah]

Hvað sannar email?

Þú skrifar undir með nafni og kennitölu. Þú gefur upp email og færð sendan póst með link sem er staðfestingalinkur, þú verður að smella og fara á síðu með þessum link til að undirskrift þín sé samþykkt. Þangað til er nún ekki valid.

Þetta er ekki sönnun, en þetta torveldar þeim sem vilja spamma svona undirskrift. Þetta, og skráning IP tölu, getur dregið fram ef mynstur myndast við undirskriftir, t.d. ef sama ip talan er á bak við margar undirskriftir, og þá ef netföngin eru grunsamleg, eða það sama alltaf.

Eins og ég segi, þetta sannar ekkert, en gefur vissa erfileikahindrun gegn þeim sem vilja skemma eða hafa óeðlileg áhrif á.

[jukn]

Þú skrifar undir með nafni og kennitölu. Þú gefur upp email og færð sendan póst með link sem er staðfestingalinkur, þú verður að smella og fara á síðu með þessum link til að undirskrift þín sé samþykkt. Þangað til er nún ekki valid.

Þetta er ekki sönnun, en þetta torveldar þeim sem vilja spamma svona undirskrift. Þetta, og skráning IP tölu, getur dregið fram ef mynstur myndast við undirskriftir, t.d. ef sama ip talan er á bak við margar undirskriftir, og þá ef netföngin eru grunsamleg, eða það sama alltaf.

Eins og ég segi, þetta sannar ekkert, en gefur vissa erfileikahindrun gegn þeim sem vilja skemma eða hafa óeðlileg áhrif á.

Þetta hindrar, engin spurning.

En það er vonlaust að gera svona sérstaklega í þeim tilgangi að hnekkja samþykktum lagafrumvörpum nema það sé sönnun á því að þeir sem séu á listanum séu virkilega þeir sömu og skrifuðu undir. Annað er bara bull.
Hvaða land heldurðu að myndi taka mark á einhverju internet survey sem er opið hverjum sem er í heiminum.


Ein auðveld leið hefði verið að senda út í alla heimabankana staðfestingarkóða pr. nafn eins og skatturinn gerir. Þá ertu strax búinn að stoppa það að menn giski á 10 tölustafi á opinni síðu á internetinu.
Eða senda staðfestingarkóða í pósti á lögheimili allra sem tóku þátt. Þeir sem slá kóðann inn á síðuna telja með, ekki hinir.
Nota rafrænu skilríkin. Kanski of snemmt en það væri fullkomin lausn á þessu "authentication" vandamáli

Edited by jukn, 17 February 2011 - 13:25.

[fleebah]

Kanski of snemmt en það væri fullkomin lausn á þessu "authentication" vandamáli

Rafræn skilríki. Ekki spurning. Er byrjaður að nota þetta.

[Brodd-Helgi]

þessi er að safna udirskriftum

Ég tók mig til og gerði síðu sem lítur út fyrir að vera undirskriftasöfnun en skráir í rauninni ekki neitt. Eina sem síðan gerir er að birta teljara, sem er í raun php-skrifta sem telur bara gesti og margfaldar þá upp (1-5). Svona til þess að vera ekki með neitt rugl, þá er það misjafnt eftir því á hvaða tíma dags fólk heimsækir síðuna hversu marga hann telur.
...
Ef ég væri í alvöru að safna undirskriftum í alvöru væri hægt að senda eftirfarandi tilkynningar frá sér í dag. Að sjálfsögðu myndi ég ekki gera það í einni tilkynningu enda væri það sóun á góðu efni til að tilkynna að fá eina birtingu í stað tveggja hjá fjölmiðlum:

1. Undirskriftarsöfnunin gengur vel, en á þessum hálfa sólarhring sem hún er búin að vera í gangi hafa safnast um 2400 undirskriftir (+ þessar 10 þúsund sem ég byrjaði með).

2. Gerð hefur verið árás á vefin en hann lá niðri um 30 mín skeið í nótt.

Vefurinn lá reyndar niðri af eðlilegum ástæðum en ég sé samt á loggum að hann lá niðri. Ég sé reyndar að það er galli í skriftunni þegar það eru margir að skoða í einu (eða af öðrum ástæðum), enda ef ég hefði ætlað að gera þetta í alvöru hefði kóðinn verið aðeins meira testaður (og ég hefði ekki haft hann dýnamískan).

Annars held ég að þetta skipti engu máli úr þessu. þ.e. undirskriftir þetta og hitt.

Forsetinn skrifar náttúrulega undir.

Það er örugglega búið að ræða það allt.

Annað væri bara rugl.

Edited by Brodd-Helgi, 17 February 2011 - 13:29.

[Ari góði]

http://visir.is/kvartar-til-personuverndar...e/2011617276758

Það er nokkuð ljóst að þetta fyrirkomulag á undirskriftarsöfnun er alveg ótækt og niðurstaðan ómarktæk.
Væntanlega verður sú gagnrýni sem hefur komið á það til þess að fagleg vinnubrögð verða viðhöfð í framtíðinni við slíkar safnanir.

[jukn]

http://visir.is/kvartar-til-personuverndar...e/2011617276758

Það er nokkuð ljóst að þetta fyrirkomulag á undirskriftarsöfnun er alveg ótækt og niðurstaðan ómarktæk.
Væntanlega verður sú gagnrýni sem hefur komið á það til þess að fagleg vinnubrögð verða viðhöfð í framtíðinni við slíkar safnanir.

Þetta fyrirkomulag er algjörlega út úr kú.
Svo kaupa þeir sér Marinó HH sem einhvern gæðastimpil þar sem bestu rökin hans eru "það hefði verið svo mikið vesen að gera þetta betur"
http://mbl.is/frettir/innlent/2011/02/17/e..._ad_sofnuninni/
http://marinogn.blog.is/blog/marinogn/entry/1143457/

Edited by jukn, 17 February 2011 - 17:15.