Проект "Свободные голосования"

Просто создам тему, чтобы дать ссылку. Сейчас пост сюда напишу.

Схема, которую я вижу, для обеспечения того, что зарегестрированный пользователь системы соответсвует реальному человеку.

Этапы:
1. Пользователь зарегестрировался на сайте - создал логин (уникальный) и пароль. Пароль секретный, знает его только пользователь и сайт. Он передается по сетям, но только по шифрованным каналам. Логин и ппароль обеспечивают ту же безопасность, которая предоставляется сейчас в блогах, социальных сетях и т.п. Такой пользователь голосовать не может.

2. Пользователь идет в организацию, которая выдает электронно-цифровые подписи. Он при свиделелях входит в свой аккаунт, введя логин и пароль, доказывая тем самым, что аккаунт его.

3. Пользователь предъявляет свой паспорт. По номеру паспорта проверяется, что у него нет другого аккаунта в системе.

4. Ему выдается устройтво с экраном, на котором каждую минуту меняется 6-8 значное число. Эти числа очень сложно предсказать, но у организации, выдающей ЭЦП, есть параллельный алгоритм, который выдает такие же числа в те же моменты времени.

5. Пользователь логиниться в ОД с логином, паролем, и числом с экранчика.

Я не готов защищать эту схему детально, просто такой защиты достаточно для банков и даже более простой достаточно. Поэтому думаю, что подтвердить, что у каждого аккаунта есть реальный пользователь, и у каждого пользователя только один аккаунт можно.

Вы описываете абсолютно нереальную схему. Как вы представляете ее работу на первых этапах популяризации системы?



Как проверяется что у него нет другого аккоунта в системе? Любой сможет производить поиск по номеру паспорта пользователей в системе?

Вы предлагаете в каждом удостоверяющем центре заставить кого-то что-то делать для нашей системы? Вы крайне оптимистичны.



Нам надо будет еще и устройства выпускать для этого? 8-О Ну, это даже уже не смешно.



Вы чрезвычайно все усложняете. Чем вам не нравиться вариант просто получения своей ЭЦП в удостоверяющем центре, который гарантирует ее уникальность в своей базе (гарантирует что один человек не заведет две ЭЦП на свое имя и то что он сможет завести ЭЦП только на свое имя). И после этого человек просто подсовывает эту подпись в нашу систему. И ВСЕ! Его уникальность гарантирована!

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Я не хочу спорить на эту тему. Очевидно, что вы тоже видите решение проблемы того, что у каждого аккаунта есть реальный человек и у каждого человека есть только один аккаунт.

Или не видите?

ameten, вы читаете то что я пишу? В последнем абзаце описан простой метод при котором есть гарантия того что одному пользователю будет соответствовать один человек.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

А зачем вы тогда это пишите? Мы здесь именно для того что-бы спорить и находить лучшие варианты для реализации.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Всё-всё. Я понял, что видите, просто хотел убедиться. Мы сходимся в том, что есть способ решения проблемы того, что у каждого аккаунта есть реальный человек и у каждого человека есть только один аккаунт. Мне этого достаточно.

В общем, мы с вами сходимся в том что к каждому аккоунту будет привязана именная ЭЦП, выдаваемая доверенным центром, который сам будет обеспечивать соответствие "одна ЭЦП - один человек". Т.е. ЭЦП в системе будет являться основным гарантом того что действия совершает конкретный человек. Кстати, даже логин с паролем при этом иметь не обязательно.

_________________
7BF9BDC16428245B55CF04EF4A609CA44E0F6E68

Есть один способ решения задачи сформулированной в заголовке темы.

Наверное он не очень подходит для данного сайта (чисто площадка для голосования), но в интеграции с другими задачами (обеспечение открытости информации, краудсорсинг и т.п.) он вполне может работать.

Решение основывается на "репутации", то есть, на оценке действий пользователя другими пользователями. Ну в качестве примера можно привести stackoverflow.com. Новый пользователь не может участвовать в голосованиях. Он может только делать некоторые полезные для сайта вещи, которые могут оценить другие пользователи и повысить репутацию человека.

Таким образом, создание виртуала остается возможным, но при этом является довольно трудоемким процессом, при чем независимо от того, делается ли абсолютно виртуальный человек или используется украденный идентити бомжа. При этом выбрасываются реальные люди которым некогда пастись на сайте.

В принципе, на репутацию может также влиять и документальное подтверждение личности с привязкой уникального ID (даже лично другим пользователем, репутация которого позволяет ему доверять, а лучше несколькими - случайно выбранными чтобы не было сговора) например сверить лицо и паспорт через скайп. Но это позволяет с ненулевой вероятностью внедрять в систему агентов с плохими намерениями - которые честно заработают репутацию а потом будут с ее помощью идентифицировать "своих".

А где вы возьмете такой удостоверяющий центр? Так-то, конечно, они есть - можно вообще ничего своего не делать, а регистрить, например, ЭЦП от всяких банк-клиентов (они сейчас почти у каждого есть, или могут быть заведены без особенных проблем). Но где гарантия что те, кому это надо, не пойдут и не наделают там тысячи виртуалов - при наличии административного ресурса?