ciekawostka, zabezlieczenie logowania przez QR code

[ace]

witam wszystkich

***** mnie znudziło to wracam do korzeni tyle słowem wstępu

tak się składa że ostatnio trochę zainteresowałem się nowinkami w sieci

istnieje dość interesujący system bezpiecznego logowania, ale chyba narazie jest w powijakach

wygląda to tak, że rejestrujesz sobie konto w serwisie 1 (rublon.com) a potem masz dostęp do innych stron poprzez QR code
przykładem jest np serwis higit.com, który ma zintegrowane logowanie poprzez FACEBOOK i właśnie przez Rublon.com
pomysł wydaje się ciekawy i innowacyjny ale ma swoje minusy

no największy minus to fakt, że bez telefonu z Androidem to to nie działa (ponoć mają uruchomić inne systemy)

nie doszukałem się też informacji o tym czy w przyszłości usługa będzie płatna

wymagają podania nr telefonu i aktywują konto poprzez wysłanie SMSa, no nie widzę w tym ukrytych kosztów
czy ktoś może interesował się tym?

myślę o zintegrowaniu tego ze swoim forum i chyba z grą, bo dawniej boty i spam na forum to rozwalały mi chęć do tworzenia czegokolwiek

może zastosować to jako alternatywne rozwiązanie? no 2 sposób logowania?

[Rodkan]

Nie lepiej było zrobić jakieś zabezpieczenie antybotowe na boty?

[ace]

no tak, ale ja tu mówię o alternatywnych rozwiązaniach

z resztą to jest przecież zabezpieczenie antybotowe

[Aravorn]

Musisz pamiętać o tym, żeby Twój mechanizm zabezpieczający nie zniechęcał graczy do grania w grę Bo szczerze mówiąc wątpię, żeby każdemu chciało się za każdym razem robić zdjęcie i wysyłać SMSa (tak zrozumiałem). Co do samej skuteczności jeżeli miałoby się to odbyć tylko poprzez wysłanie SMSa, w którego generowaniu pomógłby kod QR: wystarczy napisać program, który przechwyci go z ekranu, co wielkim problemem nie jest, potem za pomocą biblioteki QR należy przetworzyć obrazek (biblioteka jest multijęzyczna i darmowa, jest nawet w wersji PHP) i wysłać odpowiednie wiadomości wykorzystując bramkę SMS. Jeżeli chodzi o coś innego w tym systemie, to i tak po pewnym czasie padnie, bo co zostaje stworzone przez człowieka, może zostać przez człowieka złamane.
Aplikacje w Javie do QR Code krążą od dawna, nie wiem w czym więc problem, chyba że ma to być specjalna platforma, tym bardziej zniechęciłbyś użytkowników korzystania ze strony komu się będzie to chciało robić?;p Chyba że strona / gra będzie naprawdę interesująca, ale wiadomo większość osób ocenia na podstawie pierwszych paru sekund na stronie, po zalogowaniu, a taki system by odpychał.
Integracja z FB i logowanie za pośrednictwem tej platformy to już dużo lepszy pomysł, chociaż i tak możesz spotkać się ze sprzeciwem (jakoby miałbyś za duży dostęp do osobistych informacji o użytkowniku).
Captcha powstają nowe i padają, jeżeli jakaś strona jest ciekawa, a ma nowe podejście do sprawy to szybko powstają boty, które będą miały minimum te 30% skuteczności, trzeba ciągle kombinować .

[TorchLight]

hmm pooglądałem i tam się nie wysyła smsów, tam dochodzi do ciebie sms podczas rejestracji a potem podczas logowania skanujesz tylko obrazek

klik w zaloguj -> obrazek QR -> logowanie

mniej kroków niż wpisywanie loginu hasła klikanie i logowanie

tylko nie wiem czy ja dobrze kumam, ace, chcesz tworzyć własny QR code system czy korzystać z api rublona?

[Aravorn]

Ok, ja już zapoznałem się z systemem i nadal utrzymuję swoje zdanie, jeżeli tak to można nazwać:
- Android, ale to się z pewnością niedługo zmieni, ale póki co to jest przeszkoda
- konieczność posiadania adaptera, najprawdopodobniej BT, powiedzmy, że to jeszcze jakoś ujdzie (przesyłanie danych z smartfona na komputer)
- konieczność połączenia internetowego w smartfonie (telefon zajmuje się przetwarzaniem żądania, musi tu być połączenie internetowe, gdyż kod QR nie jest w żaden sposób przypisany do konkretnej osoby itd., z resztą tu widać ideę systemu)
- regulamin i polityka prywatności - przeczytajcie sami. Docelowo to będzie ogromna baza danych, przechowująca wiele osobistych danych, w tym datę urodzenia itd., a prędzej czy później taka baza wycieknie, tak jak to się wszędzie dzieje Ma to być za darmo, tak? W dzisiejszym świecie nie ma nic za darmo, twórcy będą na czymś zarabiać.
- usuwanie konta w systemie - konieczne wysłanie prośby na podany adres email, po czym "konto zostanie usunięte w ciągu 5 dni roboczych"
- jeszcze raz ostry regulamin: powiedzmy, że mamy tam konto i zostanie ono jakoś zablokowane. Czyli wtedy ten ktoś nie będzie miał możliwości zalogowania się do gry? ;P Jeżeli zrobisz możliwość normalnego zalogowania, to idea blokady przed spamem / botami traci sens.

Jeszcze coś odnośnie tych baz danych: takie bazy będą wymarzonym celem ataków hakerów, jeżeli system będzie zintegrowany z sporą ilością portali / popularnymi stronami, a wiadomo, że nie ma zabezpieczenia stworzonego przez człowieka, którego człowiek nie złamie ;D

[ace]

TorchLight, mi chodzi o korzystanie z API Rublona

Aravorn, jakiego adaptera bo nie rozumiem jakie dane chcesz przesyłać na komputer z smarciaka?
połączenie internetowe to prawie standard w dowolnej sieci za grosze, prawie każdy kto ma smartfona korzysta także w nim z internetu

odnośne usuwania konta, regulaminu - nie wiem czy ktoś z was kiedykolwiek interesował się GIODO i zbieraniem danych
w myśl zasad GIODO nie można ot tak sobie skasować czegokolwiek z bazy danych
np na naszej klasie nie kasuje Twoich danych a jedynie je zawiesza i sprawia, że nie są widoczne w serwisie

a tak wracając do gier, to w jak wielu grach możesz skasować swoje konto skoro o tym mowa? wprawie nigdzie to nie jest możliwe, a jak jest to też trwa jakiś czas a nie na zasadzie klikasz i konto jest usuwane

trochę się wczytałem i na pewno nie stworzę własnego systemu QR code - aż tak dobry to ja chyba nie jestem

zastanawiam się jedynie, czy z punktu widzenia gry lepiej mieć 10000 różnych użytkowników (9000 boty i 1000 normalnych) czy po prostu 1000 unikalnych użytkowników

jakbym chciał szukać sponsora to też mam całkiem inną propozycję i inne warunki, bo przecież mam faktyczne 1000 osób które się zarejestrowało i które są potencjalnym klientem?

[Aravorn]

Chodzi mi o to, że gdy kod QR zostanie zweryfikowany w telefonie za pomocą połączenia z internetem dane są przesyłane na komputer, ale już raczej na pewno nie za pośrednictwem internetu (z tego filmiku prezentującego system to wynika), tylko w jakiś inny sposób dane są transmitowane, chyba że musisz mieć na komputerze uruchomiony cały czas program do autoryzacji, bo serwer sam do Ciebie raczej niczego sam nie przyśle za pośrednictwem przeglądarki

Nie chodziło mi o kasację konta w grze, tylko powiedzmy, że ktoś skasuje swoje konto w tym całym systemie autoryzacji albo dostanie bana, więc jak się zaloguje na konto w grze ?

No i z tymi połączeniami z internetem: ogólnie może tak jest w większych miastach, ja żyję w średnim i większość osób się tego wystrzega, nikt nie kupuje praktycznie pakietów internetowych a tak to z konta kasę ciągnie połączenie i to się dotyczy nie tylko mojego miasta ;p

[TorchLight]

no to ci powiem jak to działa, bo widzę że nie sprawdzałeś xD

aplikacja w telefonie poprzez neta łączy się z serwerem i loguje użytkownika, nic dodatkowo na komputerze nie potrzeba ;]
skrypt na stronie www nasłuchuje czy ktoś już ten kod zeskanował

no skoro wie, że w danej grze wchodzi przez dany system a w danym systemie dostał bana lub się skasował to chyba logiczne że nie wejdzie

ogólnie może tak jest w większych miastach

nikt nie kieruje się dobrem klientów, którzy chcą oszczędzać wszyscy patrzą na tych, co lubią wydawać $$ ;]

[Aravorn]

A skąd wiesz, czy komuś gra by się nie spodobała i kupiłby sobie konto premium czy coś, ale zniechęcony zabezpieczeniami nawet się nie zarejestruje, a najprawdopodobniej będzie to duży % odwiedzających? Trzeba podejść do tego strategicznie;p
A jakby nagle powiedzmy zamknęli tamten system, bo nie mieliby z czego utrzymać itd. to co wtedy?
Doczytałem jeszcze, tak to będzie ciągły nasłuch na stronie;p