แบบสกรีนช็อตสำหรับหลักฐานทางกฎหมายในการคลิกหนึ่งในช่องทำเครื่องหมาย?


45

เราได้รับคำขอจากหนึ่งในลูกค้าของเราและเนื่องจากฉันไม่เคยพบคำขอดังกล่าวมาก่อนฉันจึงไม่รู้ด้วยซ้ำว่าจะเริ่มมองหาที่ใด

ลูกค้าของเราเป็นเครือข่ายของวิทยาลัยและเรากำลังสร้างเว็บไซต์ให้พวกเขา บนเว็บไซต์นั้นจะเป็นแบบฟอร์มที่ผู้สมัครที่มีศักยภาพสามารถกรอกเพื่อรับข้อมูลเพิ่มเติมเกี่ยวกับการศึกษาในวิทยาลัยแห่งใดแห่งหนึ่ง หลังจากที่ผู้ใช้กรอกแบบฟอร์มนี้ - รวมถึงการให้อีเมลและ / หรือหมายเลขโทรศัพท์ - วิทยาลัยที่เกี่ยวข้องจะติดต่อกับข้อมูลที่เกี่ยวข้อง

ตอนนี้ด้วยเหตุผลทางกฎหมายลูกค้าขอให้แบบฟอร์มนี้มีช่องทำเครื่องหมายที่ผู้สมัครที่มีศักยภาพตรวจสอบเพื่อระบุว่าพวกเขาตกลงที่จะรับสื่อส่งเสริมการขายจากวิทยาลัยเหล่านี้ แน่นอนว่าไม่มีปัญหา แต่นี่เป็นส่วนแปลก ๆ ของคำขอ:

รายละเอียดของแต่ละแบบฟอร์มที่กรอกจะต้องได้รับการบันทึกในวิธีการที่เชื่อถือได้ เห็นได้ชัดว่าการบันทึกค่าฟอร์มในฐานข้อมูล - คอลัมน์ที่ระบุว่าผู้ใช้เห็นด้วยหรือไม่เห็นด้วย - ยังไม่เพียงพอเพราะอาจมีการเปลี่ยนแปลงฐานข้อมูลหลังจากที่ผู้ใช้ส่งแบบฟอร์มแล้ว ลูกค้าของเราอ้างว่าพอร์ทัลวิทยาลัยอื่น ๆ สร้างภาพหน้าจอของแบบฟอร์มกรอกข้อมูลและบันทึกไว้ที่ใดที่หนึ่งในโฟลเดอร์เฉพาะในลักษณะที่พบได้ง่ายเช่นให้ชื่อไฟล์ที่มีชื่อผู้ใช้และวันที่ และเวลา

คำถามของฉันมีดังนี้: คุณเคยได้ยินการใช้ภาพหน้าจอเป็นวิธีการพิสูจน์ผู้ใช้กรอกแบบฟอร์มจริงหรือไม่? มีวิธีอื่น ๆ ที่ถือว่าเชื่อถือได้หรือไม่?


96
ภาพหน้าจอสามารถปรับเปลี่ยนได้เช่นกัน - โดยเฉพาะถ้าเก็บไว้ในดิสก์
ChrisF

41
ให้ฉันเดาว่า: มันเป็นศาสตราจารย์ด้านวิทยาศาสตร์คอมพิวเตอร์ที่มีความคิดนี้ บางคนเหล่านี้ยอดเยี่ยม ฉันไม่ทราบว่าพวกเขาทำมันได้อย่างไร แต่ความคิดที่พวกเขาคิดขึ้นมามักจะเป็นภาพเซอร์เรียลราวกับว่าพวกเขาอยู่ในกรด
Mike Nakis

32
รอ - พวกเขากำลังบันทึกที่อยู่อีเมลและข้อมูลส่วนบุคคลอื่น ๆ ในฐานข้อมูล แต่ "ปัญหาด้านความปลอดภัย" ที่พวกเขากังวลคือผู้ใช้รายนั้นได้รับอีเมลส่งเสริมการขายหรือไม่
Wonko the Sane

11
"ในโฟลเดอร์ที่ไม่พบได้ง่าย" - aah ความปลอดภัยผ่านความสับสน! นั่นเป็นวิธีที่ปลอดภัยกว่าฐานข้อมูลที่เก็บไว้ในเซิร์ฟเวอร์ที่ปลอดภัยต้องการข้อมูลประจำตัวในการเข้าสู่ระบบและอื่น ๆ เพื่อ ...
Dave

19
ดียิ่งกว่าภาพหน้าจอหากคุณสามารถจับภาพวิดีโอคลิปจากเว็บแคมของผู้ใช้พยักหน้าและให้สัญญาณ 'ยกนิ้ว' ขนาดใหญ่ ตอนนี้จะเป็นข้อพิสูจน์!
GrandmasterB

คำตอบ:


74

ฉันไม่เคยได้ยินอะไรแบบนั้นมาก่อนและมันจะไร้สาระเพราะภาพหน้าจอปลอมสามารถสร้างได้ง่ายเหมือนของปลอมในฐานข้อมูล

แก้ไขนอกจากนี้ฉันหมายถึง WTF? เนื่องจากคุณไม่สามารถจับภาพหน้าจอของหน้าจอของใครบางคนทางเว็บคุณจะต้องสร้างหน้าบนเซิร์ฟเวอร์ใหม่และจับภาพหน้าจอนั้นแล้วใครจะบอกว่าคุณไม่ได้เป็นหมอ?


1
+1 ข้อดี: ฉันไม่คิดว่าจะสามารถเรียกใช้เบราว์เซอร์แบบเป็นโปรแกรมเพื่อแสดงผล HTML และจากนั้นอาจส่งหน้าไปยังเอกสาร PDF ที่สร้างไดรเวอร์การพิมพ์
maple_shaft

ตามปกติแล้วจะทำอย่างสม่ำเสมอ มันค่อนข้างง่ายที่จะทำได้โดยหลักการคุณสามารถส่งข้อมูลเดียวกันไปยังเทมเพลต 2 xsl: fo, หนึ่งอันสร้าง html และ pdf อื่น ๆ (ฉันเคยทำมาแล้วในอดีต)
jwenting

1
@ jwenting ไม่ว่า MikeNakis จะชี้ไปที่ใดแล้วยังสามารถแก้ไขได้ คุณจะต้องใช้ PDF ที่ลงชื่อด้วยระบบอิเล็กทรอนิกส์หรือสร้างแฮชของภาพเพื่อให้คุณใช้เพื่อตรวจสอบภาพหน้าจอที่ไม่ได้ถูกดัดแปลง
maple_shaft

24
"ง่ายเหมือน"? ภาพหน้าจอปลอมนั้นง่ายกว่าการแฮ็คฐานข้อมูล!
Jesvin Jose

4
เราทำสิ่งนี้ในแอปพลิเคชั่นบางตัวที่ฉันสร้าง .. โดยทางเทคนิคแล้วมันไม่ใช่ "ภาพหน้าจอ" แต่เพื่อจุดประสงค์ในการตรวจสอบเราจะต้อง "สร้าง" เซสชันใหม่ตามเวลา เราบรรลุสิ่งนี้โดยการบันทึกข้อมูลจากแบบฟอร์มที่ส่งและจากนั้นสร้างขึ้นใหม่ในภายหลัง แต่ต้องบอกว่านั่นเป็นเพียงการบันทึกในฐานข้อมูลและ "ภาพหน้าจอ" เป็นเพียงการสร้างข้อมูลที่เราบันทึกไว้ มันดูสวยสำหรับคนที่ต้องการมัน
Deco

35

ฉันรู้ว่าฉันเริ่มต้นคำตอบนี้ด้วยคำถาม แต่ฉันมีประเด็น:

หากนี่เป็นแอปพลิเคชั่นเว็บเบราว์เซอร์ HTTP ทั่วไปที่ใช้วิธีการจับภาพหน้าจอโดยทางโปรแกรมแล้วส่งไปยังเซิร์ฟเวอร์

ฉันหวังว่าจะเป็นไปไม่ได้เพราะจะแสดงถึงความปลอดภัยของเบราว์เซอร์และความเป็นส่วนตัวที่ร้ายแรง

ลองจินตนาการดูว่าหมายเลขบัตรเครดิตของใครบางคนปรากฏบนหน้าจอในขณะที่จับภาพหน้าจอด้วยหรือไม่ ตอนนี้คุณกำลังจับข้อมูลบัตรเครดิตโดยไม่ได้ตั้งใจและระบบของคุณควรเป็นไปตามมาตรฐาน PCI นี่เป็นอีกหนึ่งหนทางแห่งความห่วงใย

วิธีเดียวที่จะทำได้คืออาจใช้ปลั๊กอินเบราว์เซอร์ของบุคคลที่สามเช่นแฟลชซิลเวอร์ไลท์ Java Applets หรือตัวควบคุม ActiveX ที่มีสิทธิ์ระดับสูงของระบบ ส่วนประกอบจะต้องมีการลงนามและผู้ใช้จะต้องเห็นด้วยกับส่วนประกอบที่มีการเข้าถึงการเรียกใช้รหัสในเครื่องของพวกเขา

แผนนี้มีรูมากเกินไปและฉันสงสัยอย่างจริงจังว่าวิทยาลัยอื่นใช้สิ่งที่คล้ายกัน ฉันไม่เคยได้ยินเรื่องนี้มาก่อนในอาชีพการงานของฉันอย่างน้อยก็ไม่ใช่เว็บแอปพลิเคชัน

แก้ไข:

ฉันแค่คิดถึงตัวเลือกอื่นที่อาจสะท้อนสิ่งที่ฉันคิดว่าลูกค้าของคุณขออย่างแท้จริง

ฉันมีแอปพลิเคชันที่ฉันทำกับลูกค้าที่ลูกค้าต้องยอมรับและลงนามในเอกสาร NDA เพื่อเข้าถึงแอปพลิเคชัน ฉันได้รับสิ่งนี้ผ่านเอกสาร PDF ที่ลงชื่อได้ คุณสามารถมีฟิลด์ลายเซ็นต์ในเอกสาร PDF ที่โดยใช้ส่วนประกอบ USB ปากกา + แผ่นหรือเพียงแค่คลิกเพื่อรับทราบว่าเพื่อวัตถุประสงค์ทางกฎหมายจะดีเท่า ๆ กับว่าคุณต้องเซ็นเอกสารด้วยมือจริง ๆ

มันถูกเรียกว่าลายเซ็นอิเล็กทรอนิกส์และพวกเขาจะขึ้นศาล

เอกสาร PDF หลังจากเซ็นชื่อจะถูกเข้ารหัสและแฮชจะถูกจัดเก็บพร้อมกับเอกสารที่ยืนยันว่าไม่ได้ถูกดัดแปลงหลังจากเซ็นชื่อ โปรแกรมอ่าน PDF สมัยใหม่อย่าง Adobe สามารถส่งเอกสารที่ลงนามแล้วไปยังเซิร์ฟเวอร์ซึ่งคุณสามารถเก็บไว้ในระบบการจัดการเอกสารหรือฐานข้อมูลเพื่อความปลอดภัย

เมื่อใดก็ตามที่ผู้ใช้ผู้ดูแลระบบสามารถเรียกคืนหนึ่งในเอกสารเหล่านี้และพิมพ์ได้

นี่อาจเป็นไปตามสิ่งที่ลูกค้าของคุณต้องการ แต่มีเวลาอธิบายไม่ถูกต้อง


1
+1 สำหรับการกล่าวถึงว่าเป็นไปได้ทางเทคนิค แต่จะต้องมีการเสียบ
bunglestink

10
ดังนั้นอะไรที่ทำให้คุณไม่สามารถแทนที่ PDF ด้วยสิ่งที่คุณได้เซ็นชื่อด้วยตัวเอง? เท่าที่ฉันรู้ไม่มีโครงสร้างพื้นฐานกุญแจสาธารณะที่แข็งแกร่งสำหรับการจัดการกับตัวตนของบุคคล
Random832

1
@ Random832 รุกฆาตเพื่อนของฉันคุณได้รับฉัน! ฉันเดาว่าไม่มีคำตอบที่ปลอดภัย 100% ระบบใด ๆ สามารถถูกบุกรุก
maple_shaft

3
สิ่งนี้จะไม่ต้องใช้ปลั๊ก โปรดทราบว่าเครื่องมือตอบรับล่าสุดของ Google (บน Google Plus และ Youtube) ทำเช่นนี้จริง "ภาพหน้าจอ" คุณสามารถส่ง HTML ทั้งหมดในหน้าปัจจุบันผ่าน JAvascript และใช้สไตล์ชีทที่เหมาะสมเพื่อสร้างภาพที่มีลักษณะใหม่ แน่นอนนี่คือ ^% & * ไร้สาระเพราะคุณสามารถส่งค่าของกล่องกาเครื่องหมาย
Ben Brocka

ฉันได้เขียนวิดเจ็ตที่จับการเคลื่อนไหวของเมาส์ในองค์ประกอบผ้าใบและจัดลำดับเวลาที่จับภาพเป็น X, Y พิกัดกลับไปที่เซิร์ฟเวอร์ ฉันไม่แน่ใจทั้งหมดว่าสถานะทางกฎหมายของ "ลายเซ็น" นั้นคืออะไร (มันสามารถเปลี่ยนแปลงได้และค่อนข้างง่ายต่อการคัดลอก) แต่ถ้านี่เป็นสิ่งเดียวที่พวกเขา "ลงชื่อ" ในระบบมันจะยากที่จะอธิบายว่า คุณได้รับข้อมูลนั้นหากพวกเขาไม่ยินยอม (ฉันไม่รู้ว่าจะเกิดอะไรขึ้นถ้าพวกเขามีเครื่องหมายน้องชายของพวกเขา "พิซซ่า" แต่ PDF ประสบปัญหาเดียวกัน)
psr

27

ฉันคิดว่าคำถามจริงจะเป็นคนที่มีชื่อปรากฏในแบบฟอร์มกรอกแบบฟอร์มจริงหรือไม่

กล่าวอีกนัยหนึ่งถ้ามีคนไปที่เว็บไซต์และป้อนชื่อ "Bill Gates" และคลิกที่ช่อง "ก็โอเคที่จะส่งอีเมลถึงฉัน" ภาพหน้าจอจะพิสูจน์ว่าเป็น Bill Gates จริงหรือไม่

พวกเขาพิจารณาที่จะทำสิ่งที่เว็บไซต์จำนวนมากทำและนั่นคือการส่งอีเมลยืนยันพร้อมลิงค์เฉพาะที่ใครบางคนต้องคลิกเพื่อยืนยัน? อย่างน้อยคุณก็มีบันทึกที่คุณได้รับการยืนยันจากบุคคลที่สามารถเข้าถึงบัญชีอีเมลนั้นได้


4
เผง อีเมลยืนยันเพื่อให้แน่ใจว่าบุคคลที่ร้องขออีเมลนั้นมีการควบคุมที่อยู่อีเมลที่เป็นปัญหา ฉันยังเพิ่มว่าแทนที่จะมีบันทึกทางกฎหมายของผู้คนที่ร้องขอสื่อส่งเสริมการขายว่าคุณเพียงแค่ทำตามCAN SPAM Actและทำให้ง่ายต่อการยกเลิกการสมัครรับข้อมูลส่งเสริมการขายของคุณ (อีเมลที่ส่งวัสดุส่งเสริมการขายแม้ว่าโดยบุคคลที่สามมีการเชื่อมโยงไปยกเลิกการเป็นสมาชิกไปยังรายการทั้งหมดที่คุณนำพวกเขาในทุก.)
ดร jimbob

20

ไม่มีสิ่งนั้น

การสนทนานี้ต้องเริ่มต้นด้วยความเข้าใจว่าไม่มีทางพิสูจน์ได้จริง ๆว่าคนที่เห็นด้วย นี่คือความจริงแม้ในโลกทางกายภาพ แม้ว่าคุณวิดีโอคนที่เซ็นชื่อในแบบฟอร์มทางกายภาพและวางเลือดของพวกเขาลงบนแบบฟอร์มพวกเขาสามารถพูดได้ว่าวิดีโอถูกแกล้งเลือดถูกพรากไปจากพวกเขาโดยที่พวกเขาไม่รู้และมีการปลอมแปลงลายเซ็น แต่ไม่จำเป็นต้องใช้การพิสูจน์แบบสัมบูรณ์ มีหลักฐานเพียงพอ

ในโลกดิจิทัลข้อมูลใด ๆ ไม่ว่าจะเป็นข้อความรูปภาพข้อมูลในฐานข้อมูลหรืออีเมล สิ่งที่ใกล้เคียงที่สุดที่เราสามารถพิสูจน์ได้คือให้ผู้ใช้เข้ารหัสบางสิ่งโดยใช้รหัสส่วนตัวและแสดงให้เห็นว่ากุญแจสาธารณะของพวกเขาจะถอดรหัส อย่างไรก็ตามปัจจุบันนี้เกินขีดความสามารถของผู้ใช้ส่วนใหญ่และพวกเขายังสามารถพูดได้ว่าคีย์ส่วนตัวของพวกเขาถูกขโมย

สิ่งที่ดีที่สุดที่เราสามารถทำได้คือ:

  • หาของปลอมที่ยาก (แม้ว่าจะเป็นไปไม่ได้)
  • ยอมรับว่าตามกฎหมายหลักฐานนั้นเพียงพอ
  • ทำให้ผู้ใช้สามารถยกเลิกการสมัครได้ง่าย

การบันทึกรูปภาพแทนที่จะเป็นข้อความจะไม่เพิ่มอะไรในแง่ของการพิสูจน์ ทั้งหมดจะทำกระบวนการช้าลงและมีราคาแพงกว่า

ลายเซ็นอิเล็กทรอนิกส์

ในงานของฉันเรามีแอปพลิเคชันที่ผู้ใช้เซ็นคำสั่ง ถูกต้องตามกฎหมายเขตอำนาจศาลที่เราดำเนินการได้ผ่านกฎหมายที่ระบุว่าผู้ใช้ที่พิมพ์ที่อยู่อีเมลลงในแบบฟอร์มสามารถนับเป็นลายเซ็นอิเล็กทรอนิกส์ เราได้ยืนยันแล้วว่าพวกเขาสามารถเข้าถึงที่อยู่ได้โดยส่งลิงค์ที่พวกเขาต้องคลิก นั่นไม่ใช่ข้อพิสูจน์ที่แน่นอน แต่มันก็ถือว่าดีพอสำหรับจุดประสงค์ของเรา

ไม่ว่าคุณจะเก็บข้อมูลอะไรฉันก็ขอแนะนำให้จับเวลาด้วยดังนั้นคุณสามารถพูดว่า "คุณเห็นด้วยกับวันและเวลาที่แน่นอน" ฉันไม่แน่ใจว่าสิ่งนั้นมีความเกี่ยวข้องทางกฎหมายหรือไม่ แต่ดูเหมือนว่าฉันจะน่าเชื่อถือมากกว่าเพราะเปิดโอกาสให้ผู้ใช้สามารถพิสูจน์ได้เป็นอย่างอื่น ("ฉันมีหลักฐานว่าฉันไม่ได้อยู่ที่คอมพิวเตอร์ในเวลานั้น" เป็นต้น) )

จะบ้าไปกับมัน

บางสิ่งที่คุณสามารถทำได้ซึ่งอาจถือเป็นหลักฐาน:

  • บันทึกการประทับเวลา IP เบราว์เซอร์ ฯลฯ เพื่อให้คุณสามารถยืนยันสถานการณ์ของลายเซ็นได้
  • ต้องการการยืนยันที่อยู่อีเมล
  • กำหนดให้ผู้ใช้ป้อนรหัสผ่านในขณะที่มีลายเซ็น
  • จัดให้มีบริการเว็บของบุคคลที่สามที่เขียนอย่างเดียวซึ่งจะได้รับในขณะที่ผู้ใช้ลงชื่อ HTTPS POST จากแอปของคุณด้วยข้อมูลลายเซ็น หากบุคคลที่สามสามารถเป็นพยานได้ว่าบริการของพวกเขาเป็นแบบเขียนอย่างเดียวพวกเขาได้รับการบันทึกในขณะนั้นและสำเนาของคุณเหมือนกันคุณสามารถยืนยันว่าคุณไม่ได้แก้ไขข้อมูลตั้งแต่นั้นมา
  • ส่งอีเมลถึงผู้ใช้ในขณะนั้นว่า "ขอบคุณสำหรับการสมัครสมาชิกนี่คือวิธียกเลิกการสมัคร" ผู้ให้บริการอีเมลของพวกเขาหรือของคุณอาจสามารถแสดงให้เห็นว่าอีเมลถูกส่งหลังจากผู้ใช้ลงชื่อเข้าใช้

IANAL

โปรดอย่าใช้สิ่งนี้เป็นคำแนะนำทางกฎหมาย


คำตอบที่ดี ... แต่ยังคงเป็นที่อยู่อีเมลเป็นลายเซ็นอิเล็กทรอนิกส์ได้ถูกโต้แย้งทางกฎหมายเช่นกัน คุณพูดถูกไม่มีวิธีพิสูจน์แน่นอน เพียงเฉดสีที่แตกต่างกันของยากขึ้น ระบบกฎหมายทำงานด้วยความสงสัยอย่างสมเหตุสมผล คนส่วนใหญ่จะยอมรับว่างานที่สร้างวิดีโอขโมยเลือดและปลอมแปลงลายเซ็นไม่ใช่ความเป็นไปได้ที่สมเหตุสมผล มันเกิดขึ้นได้ไหม? ใช่แน่นอน แต่แน่นอนว่าไม่น่าเป็นไปได้สูงที่ทุกคนจะประสบกับปัญหานั้น
maple_shaft

1
"... และพวกเขายังสามารถพูดได้ว่ากุญแจสาธารณะของพวกเขาถูกขโมย" ไม่ควรอ่านว่า "... และพวกเขายังสามารถพูดว่ารหัสส่วนตัวของพวกเขาถูกขโมย" รหัสสาธารณะที่ถูกขโมยจะไม่ก่อให้เกิดปัญหาด้านความปลอดภัยใน PKI ที่ออกแบบมาอย่างดี
Lie Ryan

capturing a timestampไม่มีประโยชน์อะไรเลย ทุกวันนี้มันง่ายพอสมควรสำหรับผู้ใช้ทั่วไปในการสร้างเบราว์เซอร์หรือเดสก์ท็อปอัตโนมัติเพื่อกำหนดเวลาการกรอกแบบฟอร์มในอนาคต
Lie Ryan

10

อีกตัวเลือกหนึ่งคือการบันทึก Raw HTTP Post จากไคลเอ็นต์ นี่จะมี IP ของพวกเขามาจากไหนเบราว์เซอร์อื่น ฯลฯ โดยไม่ต้องใช้หน้าจอ จากนั้นคุณสามารถบันทึกสิ่งนี้ลงในตารางแทรกเฉพาะในรูปแบบดิบหรือไฟล์บันทึกแบบเรียบง่าย ...

แค่พยายามคิดทางเลือกอื่น ๆ เพราะฉันมักจะพบกับคำขอที่ไร้สาระเช่นนี้บ่อยกว่าที่ฉันต้องการ ...


อืมใช่ แต่บันทึกนั้นอยู่ในฐานข้อมูลเดียวกันกับที่พวกเขากังวลเกี่ยวกับการถูกดัดแปลง ดูการแก้ไขในคำตอบของฉันเอกสาร PDF ที่ลงชื่อด้วยระบบอิเล็กทรอนิกส์เป็นวิธีเดียวที่จะทำให้มั่นใจได้ว่าเอกสารจะไม่ถูกแก้ไข
maple_shaft

1
@maple_shaft: แนวคิดพื้นฐานของการเพิ่มความปลอดภัยของฐานข้อมูลพิเศษคือการอนุญาตแบบ "แทรกเท่านั้น" สำหรับผู้ใช้ทั้งหมดยกเว้นผู้ดูแลระบบคนเดียว บันทึกนี้จะเพิ่มเติมจากกิจกรรมฐานข้อมูลปกติและจะใช้สำหรับการตรวจสอบเมื่อจำเป็นเท่านั้น
bunglestink

1
@JonnyBoats: คุณถูกต้องทางเทคนิคเกี่ยวกับ HTTPS แม้ว่าจะได้รับครั้งเดียวที่ระดับแอปพลิเคชันคุณจะได้รับข้อความดิบที่เหมือนกัน
bunglestink

1
"เอกสาร PDF ที่ลงลายมือชื่ออิเล็กทรอนิกส์" หรือสิ่งใดก็ตามที่ลงนามทางอิเล็กทรอนิกส์ "เป็นวิธีเดียวที่จะทำให้มั่นใจได้ว่าเอกสารไม่ได้ถูกดัดแปลง" ยกเว้นโดยผู้ที่มีกุญแจที่จะเซ็นชื่อด้วย
Random832

1
@ Random832: สามารถทำได้หากมีการให้รหัสส่วนตัวสำหรับเอกสารโดยผู้ใช้ IMO จะทำเครื่องหมายถูกเกินขนาดสำหรับช่องทำเครื่องหมายที่ระบุข้อตกลงเพื่อรับสื่อส่งเสริมการขาย
Lie Ryan

8

ภาพหน้าจอนั้นประดิษฐ์ขึ้นมาได้ง่ายหากคุณมีแนวโน้มมาก เช่นเดียวกับการแฮ็กการบันทึกเวลา ฯลฯ โดยไม่มีพื้นฐานการเข้ารหัส หนึ่งสันนิษฐานว่ามีข้อกำหนดที่เข้มงวดสำหรับวิทยาลัยเพื่อให้สามารถพิสูจน์ได้ว่าพวกเขาได้รับความยินยอมเป็นบวกก่อนที่จะส่งสื่อการตลาดให้กับผู้คนหรือแลกเปลี่ยนข้อมูลของพวกเขาไปยังบุคคลที่สาม

วิธีที่เชื่อถือได้เพียงวิธีเดียวคือการเรียกใช้ลายเซ็นการเข้ารหัสลับจากผู้ใช้ ตัวอย่างเช่นดูวิธีที่เว็บไซต์http://launchpad.netขอให้คุณลงนาม cryptograpically จรรยาบรรณ Ubuntu

สิ่งนี้มีผลบังคับใช้ตามกฎหมายในเขตอำนาจศาลซึ่งอาจมีการใช้ลายเซ็นเข้ารหัสในเอกสารทางกฎหมาย แต่โดยการลงนามในข้อความที่ระบุผู้ใช้อาจแสดงหลักฐานยืนยันว่ามีการยืนยันในภายหลัง มันเป็นไปไม่ได้เลยที่วิทยาลัยจะสร้างลายเซ็นที่ถูกต้องจากกุญแจสาธารณะอันเดียวกัน

โปรดทราบว่ามันยังคงเป็นที่น่ารำคาญสำหรับวิทยาลัยเพื่อปรับปรุงฐานข้อมูลของพวกเขาและทำให้พลิกฟิลด์ได้รับความยินยอมและยังจะเข้ามาแทนที่คีย์สาธารณะอีกด้วยซึ่งพวกเขารู้ว่าคีย์ส่วนตัวและสร้างลายเซ็นที่ถูกต้องสำหรับที่สำคัญ

ดังนั้นหากไม่มีคีย์การลงชื่อบุคคลที่สามเพื่อยืนยันว่าพวกเขาเป็นของบุคคลใดบุคคลหนึ่งสิ่งนี้ประสบความสำเร็จคือผู้ใช้สามารถตรวจสอบว่าวิทยาลัยปลอมแปลงการตั้งค่าความเป็นส่วนตัวของพวกเขาหรือไม่ - โดยไม่มีลายเซ็นของบุคคลที่สาม

หากคุณต้องการให้การยืนยันความเป็นเจ้าของคีย์ทั้งหมดและคีย์ที่ลงชื่อโดยบุคคลที่สามที่เชื่อถือได้หนึ่งหรือมากกว่านั้นวิทยาลัยจะไม่สามารถปลอมแปลงลายเซ็นที่ถูกต้องได้โดยไม่ต้องมีการเปิดเผยมากขึ้น (พวกเขาจะต้องหลอกลวงหรือเลือก บุคคลที่สามที่เชื่อถือได้เพื่อรับรหัสปลอมของพวกเขา) ความยากลำบากในการโจมตีครั้งนี้จะเพิ่มขึ้นตามจำนวนลายเซ็นของบุคคลที่สามที่ต้องการ แต่ตามบันทึกย่อของโปสเตอร์อื่นเป็นไปไม่ได้

ดังนั้นเพื่อสรุป:

  • ผู้ใช้จะต้องเป็นเจ้าของหรือสร้างคู่คีย์ส่วนตัว / สาธารณะ
  • ผู้ใช้จะต้องได้รับลายเซ็นสำหรับกุญแจสาธารณะของพวกเขาจากบุคคลที่สามที่เชื่อถือได้
  • ผู้ใช้จะต้องอัปโหลดกุญแจสาธารณะอย่างน้อยไปที่วิทยาลัยและควรไปที่ที่เก็บกุญแจของบุคคลที่สาม
  • ผู้ใช้จะต้องเซ็นต์ข้อความธรรมดาที่รู้จักและให้ลายเซ็นเป็นหลักฐานว่าพวกเขายอมรับที่จะแบ่งปันข้อมูลส่วนตัวของพวกเขา

ปัญหาการปฏิบัติ:

  • มีคนเพียงไม่กี่คนที่เข้าใจลายเซ็นเข้ารหัส
  • ค่าใช้จ่ายของการรับรองบุคคลที่สามอาจมีราคาแพง
  • ดูเหมือนว่าจะเป็นงานที่น่าสะพรึงกลัวมากมายในการปกป้องช่องทำเครื่องหมายอีเมลขยะในหน้าดาวน์โหลดหนังสือชี้ชวนของวิทยาลัย

8

ฉันเริ่มต้นด้วยการอ่านลายเซ็นอิเล็กทรอนิกส์สำหรับประเทศ / รัฐของลูกค้าโดยมุ่งเน้นที่การค้นหาว่าวิธีการและข้อกำหนดใดที่มีผลผูกพันตามกฎหมาย ฉันมั่นใจว่าจะไม่มีประเทศหรือรัฐใดในใจที่ถูกต้องของพวกเขาต้องการภาพหน้าจอเป็นวิธีการพิสูจน์หลักฐานเดียวสำหรับลายเซ็นอิเล็กทรอนิกส์ที่มีผลผูกพัน

ตัวอย่างเช่นในสหรัฐอเมริกา 47 รัฐได้ยอมรับกฎหมายว่าด้วยธุรกรรมทางอิเล็กทรอนิกส์แบบเดียวกันซึ่งใช้กับ "เรื่องของรัฐบาล" เหนือสิ่งอื่นใด มีส่วนต่าง ๆ ต่อไปนี้ที่อาจช่วยได้:

..

  • ลายเซ็นอิเล็กทรอนิกส์ - หมายถึงเสียงอิเล็กทรอนิกส์สัญลักษณ์หรือกระบวนการที่แนบหรือเกี่ยวข้องกับบันทึกและดำเนินการหรือนำไปใช้โดยบุคคลที่มีเจตนาที่จะลงนามบันทึก

..

  • หมวดที่ 7 ให้การยอมรับทางกฎหมายแก่ลายเซ็นบันทึกและสัญญาทางอิเล็กทรอนิกส์
    • (a) บันทึกหรือลายเซ็นไม่สามารถปฏิเสธผลทางกฎหมายหรือการบังคับใช้ได้เพียงเพราะมันอยู่ในรูปแบบอิเล็กทรอนิกส์
    • (b) สัญญาไม่สามารถปฏิเสธผลทางกฎหมายหรือการบังคับใช้ได้เพียงเพราะมีการใช้บันทึกอิเล็กทรอนิกส์ในรูปแบบของมัน
    • (c) หากกฎหมายกำหนดให้ต้องบันทึกเป็นลายลักษณ์อักษรบันทึกอิเล็กทรอนิกส์เป็นไปตามกฎหมาย
    • (d) หากกฎหมายกำหนดให้มีการลงนามลายเซ็นอิเล็กทรอนิกส์เป็นไปตามกฎหมาย

..

เมื่อฉันรู้กฎหมายฉันจะประเมินค่าใช้จ่ายของวิธีการเซ็นชื่อแบบอิเล็กทรอนิกส์ที่ดีที่สุดเปรียบเทียบกับราคาของวิธีการจับภาพหน้าจอ

สุดท้ายฉันจะพูดคุยกับสิ่งที่ค้นพบของพวกเขา ครั้งแรกฉันจะอธิบายให้พวกเขาเลือกที่ดีที่สุดกับตัวเลือกที่เสนอ ต่อไปฉันจะอธิบายระยะเวลาที่พวกเขาจะเพิ่มให้กับพวกเขา สุดท้ายถ้าฉันอยู่ในสถานที่ที่จะทำฉันจะบอกพวกเขาว่า "คุณสมบัติ" นี้จะเพิ่ม x ดอลลาร์ในบิลสุดท้าย ฉันแน่ใจว่าจะใช้ค่าใช้จ่ายเพิ่มเติมกับฉันเพื่อเป็นเหตุผลสำหรับค่าใช้จ่ายเพิ่มเติมให้กับพวกเขา

หากพวกเขายังไม่ขยับเขยื่อนฉันจะเห็นว่าพวกเขามีหัวหน้างานที่มีสติปัญญาบางอย่างที่ฉันสามารถมีการประชุมแบบเดียวกันได้หรือไม่

* ฉันไม่ใช่นักกฎหมายดังนั้นโปรดขอคำแนะนำทางกฎหมายหากคุณไม่แน่ใจเกี่ยวกับสิ่งใด


6

นี่เป็นคำถามทางกฎหมายแน่นอนคำตอบที่แท้จริงจะขึ้นอยู่กับกฎหมายระดับประเทศและอาจเป็นไปได้แม้แต่กฎหมายในประเทศและสถานการณ์ที่แน่นอน เห็นได้ชัดว่าคำตอบที่แท้จริงนั้นมาจากทนายความเท่านั้น

อย่างไรก็ตามตราบใดที่ความรู้ด้านกฎหมายของฉันถูก จำกัด ไปฉันก็ไม่เห็นเหตุผลที่จะถือว่าภาพหน้าจอจะได้รับการพิจารณาว่าเป็นหลักฐานสำหรับทุกสิ่ง

แนวทางปฏิบัติที่ดีที่สุดของคุณน่าจะอธิบายให้ลูกค้าฟังว่านี่เป็นปัญหาทางกฎหมายและจำเป็นต้องได้รับความช่วยเหลือจากทนายความ จากนั้นหารือกับพวกเขาว่าพวกเขาต้องการให้คุณปรึกษากับทนายความหรือไม่หรือพวกเขาต้องการทำด้วยตัวเอง

เพื่อให้ได้ทางออกที่เป็นไปได้คุณอาจต้องการพูดคุยเกี่ยวกับตัวคุณเอง (ถ้าลูกค้าเห็นด้วย) หากคุณไม่ต้องการความยุ่งยากนั้น (หรือกลัวว่าพวกเขาอาจไม่เต็มใจจ่ายให้คุณ) ให้พวกเขาทำ


6
หาก OP ไปในเส้นทางนี้ฉันจะแนะนำวิธีการกลางสายให้อธิบายกับลูกค้าว่าพวกเขาควรหารือกับนักกฎหมาย แต่ OP จะต้องการมีส่วนร่วมในการอภิปรายเหล่านั้นถ้าเป็นไปได้ ด้วยวิธีนี้ค่าใช้จ่ายจะอยู่ที่ลูกค้าโดยตรงและมีความเสี่ยงน้อยกว่าที่ลูกค้าจะ จำกัด บางสิ่งบางอย่างที่ทนายความกล่าวเมื่อส่งข้อมูลนั้นไปยัง OP
Kevin D

5

หากคุณต้องการตรวจสอบว่าเอกสารยังคงไม่เปลี่ยนแปลง (บันทึกฐานข้อมูลอะไรก็ตาม) "แนวปฏิบัติที่ดีที่สุด" จะเป็นดังนี้:

  • จัดลำดับข้อมูลในลักษณะที่สามารถทำซ้ำได้รวมถึงช่องใด ๆ ที่อาจเป็นที่ถกเถียงกัน (เช่นที่อยู่อีเมลไม่ว่าจะทำเครื่องหมายที่กล่องหรือไม่ก็ตาม)
  • ใช้แฮชของบันทึกนั้น (เช่น sha1)
  • ใช้กุญแจสาธารณะสำหรับบุคคลที่สามที่เชื่อถือได้ (เช่นบุคคลที่สามที่ไม่สนใจ) เพื่อเข้ารหัสแฮชนี้
  • โพสต์ข้อมูลด้วยวิธีสาธารณะเพื่อกำหนดวันที่มีอยู่จริงเช่นกลุ่มข่าว
  • ในการตรวจสอบความถูกต้องบุคคลที่สามสามารถถอดรหัสแฮชและเปรียบเทียบกับค่าแฮชปัจจุบันได้

สิ่งนี้ถูกใช้เพื่อรับประกันว่าบันทึกการประกันไม่ได้ถูกดัดแปลง อย่างไรก็ตาม "บุคคลที่สามที่เชื่อถือได้" เราจ่ายเงินจำนวนหนึ่งเพื่อประกาศแฮชเมื่อพวกเขาเซ็นสัญญากลับไปยังตัวเราและลูกค้าอื่น ๆ หลายคนดังนั้นจึงมีผู้ปกครองหลายคนที่อาจเป็นหมายศาลเพื่อรับการพิสูจน์

นี่เป็นภาระที่ไร้สาระสำหรับบางอย่างเช่นการตรวจสอบความถูกต้องของฟิลด์บูลีน แต่ถ้าคุณแสดงให้ลูกค้าเห็นถึงค่าใช้จ่ายที่เกี่ยวข้องพวกเขาอาจจะเลิกเป็นใบ้


4

ในขณะที่คำขอนั้นไร้สาระและคุณไม่สามารถมีหลักฐานทางกฎหมายที่สมเหตุสมผลได้ว่าบุคคลที่ทำเครื่องหมายในช่องทำเครื่องหมายเมื่อกรอกแบบฟอร์มมีคำถามภายในคำถามของคุณซึ่งสามารถตอบได้จริง:

[จะมั่นใจได้อย่างไรว่าข้อมูลจะไม่เปลี่ยนแปลงในภายหลังในขณะที่] ฐานข้อมูลสามารถเปลี่ยนแปลงได้หลังจากที่ผู้ใช้ส่งแบบฟอร์ม?

ที่จริงแล้วอาจทำได้ง่ายกว่าในทางเทคนิค

1. เก็บหลักฐานว่าข้อมูลไม่ถูกเปลี่ยนแปลง

การส่งอีเมลไปยังตัวคุณเอง (ไปยังกล่องจดหมายเฉพาะ) ด้วยค่าจริงที่ผู้ใช้ส่งมานั้นง่ายมาก (อาจเป็นไปได้ขึ้นอยู่กับการกำหนดค่าเซิร์ฟเวอร์ขีด จำกัด โอกาสที่จะถูกกรองเป็นสแปม จำนวนอีเมลที่ส่งต่อวินาที, ฯลฯ ) และก็เพียงพอที่จะแสดงให้เห็นว่าข้อมูลไม่ถูกเปลี่ยนแปลงหลังจากที่มันถูกส่งมา ตัวอย่างเช่นถ้าฉันไม่สามารถเข้าถึงเซิร์ฟเวอร์ของ Googleได้อย่างไม่ จำกัดฉันค่อนข้างมั่นใจว่าทุกคนจะเชื่อว่าฉันไม่สามารถแก้ไขเนื้อหาของอีเมลที่ฉันส่งไปยังที่อยู่ GMail ของฉันเองได้

2. เก็บหลักฐานว่าข้อมูลนั้นถูกต้อง

โอกาสที่ลูกค้าจะไม่พอใจเพราะแม้ว่าคุณจะมีหลักฐานว่าข้อมูลไม่เปลี่ยนแปลงหลังจากนั้นเราจะแน่ใจได้อย่างไรว่าข้อมูลไม่ได้ถูกแก้ไขระหว่างการส่งแบบฟอร์มและการส่งข้อมูลทางอีเมล (และผูกมัดกับฐานข้อมูล)? ในกรณีนี้ขั้นตอนต่อไปคือ:

  1. ลบช่องทำเครื่องหมาย
  2. ทำเครื่องหมายทุกคนที่กรอกแบบฟอร์มว่าไม่เต็มใจรับเนื้อหาส่งเสริมการขายสแปมจาก บริษัท ลูกค้าของคุณ
  3. ระบุผู้เข้าชมว่าพวกเขาต้องส่งอีเมล (ที่มีชื่อที่กำหนดไว้ล่วงหน้าและเนื้อความว่างเปล่า) ไปยังกล่องจดหมายเฉพาะเพื่อรับข้อเสนอเชิงพาณิชย์เกี่ยวกับสแปม

อีเมลของพวกเขาจะถูกประมวลผลโดยอัตโนมัติและเก็บไว้เป็นหลักฐาน

3. เก็บหลักฐานว่าข้อมูลเป็นของจริง

ตอนนี้คุณมีหลักฐานว่าบุคคลที่ใช้ที่อยู่อีเมลที่กำหนดนั้นต้องการรับสแปมจริง ๆ ลูกค้าอาจยังไม่พอใจ จะเป็นอย่างไรถ้ามีคนแฮกกล่องจดหมายของคนอื่นเพื่อลงทะเบียนแฮ็คเพื่อรับจดหมายขยะของคุณ

ในระดับความบ้าคลั่งนี้คุณยังคงสามารถตอบสนองต่อข้อกำหนดทางเทคนิคได้ ตอนนี้แทนที่จะส่งอีเมลการเลือกรับผู้ใช้เว็บไซต์ต้อง:

  1. ส่งจดหมายพร้อมสำเนาบัตรประชาชน / หนังสือเดินทางและจดหมายพร้อมลายเซ็นโดยระบุว่าบุคคลนี้ต้องการรับสแปมจริงๆ

  2. ตรวจสอบที่อยู่อีเมลผ่านรหัสลับซึ่งจะถูกส่งกลับ

แต่ก่อนที่จะทำสิ่งนี้โน้มน้าวใจลูกค้าให้ใช้สิ่งที่ฉันอธิบายไว้ในส่วนที่ 2 และทดสอบ ลูกค้าจะเห็นว่าหลังจากหนึ่งหรือสองเดือนไม่มีใครไม่เคยส่งอีเมลการเลือกรับและจะลืมหลักฐานพิสูจน์ทางกฎหมายและเปลี่ยนแปลงข้อมูลในฐานข้อมูลอย่างมีความสุข


ขั้นตอนที่ 2 ของคุณไม่ได้พิสูจน์อะไรเลย ในการทำเครื่องหมายว่าคนไม่เต็มใจที่จะรับสแปมคุณกำลังเก็บ "ทำเครื่องหมาย" ไว้ในฐานข้อมูลเดียวกันกับที่ลูกค้ากังวลเกี่ยวกับการถูกดัดแปลง การเก็บแฮชของชุดข้อมูลไว้จะทำให้แน่ใจได้ว่าหากใครก็ตาม tampers ข้อมูลหรือแฮชนั้นเพื่อเปรียบเทียบข้อมูลกับแฮชนั้นจะส่งผลให้มันล้มเหลวต่อแฮชและพิสูจน์ว่าข้อมูลนั้นเสียหายหรือดัดแปลง
maple_shaft

@maple_shaft สิ่งที่จำเป็นในส่วนที่ 2 โดยทั่วไปไม่ใช่สิ่งที่เก็บไว้ในฐานข้อมูล แต่มีเพียงการรับอีเมลที่เลือกจากผู้ใช้ของเว็บไซต์ ข้อมูลในฐานข้อมูลไม่สำคัญ
Arseni Mourzenko

2
ขั้นตอนที่ 1 เป็นสิ่งที่ดี ง่ายเรียบง่ายมีประสิทธิภาพ
ยืนยัน

@MainMa: และคุณคิดว่าอีเมลไม่สามารถปลอมแปลงหรือปลอมแปลงได้?
Ben Voigt

3

สถานะทางกฎหมายของสิ่งที่คุณทำนั้นเป็นอิสระจากข้อดีทางเทคนิคของการแก้ปัญหา

ตัวอย่างเช่น :

เป็นเวลาหลายปีที่สมาชิกรัฐสภาอังกฤษจะเพิกเฉยต่อคำร้องขอทางอิเล็กทรอนิกส์เนื่องจากกฎหมายเรียกร้องให้มีการลงลายมือชื่อของแต่ละคน จากนั้นมีบางคนสังเกตเห็นว่าที่อยู่อีเมลวันที่เวลาและความคิดเห็นของแฮชแม้ว่าจะไม่มีรหัสลับก็ตาม - ถือเป็น "ลายเซ็นดิจิทัล" ในสายตาของกฎหมายของสหราชอาณาจักร

ดังนั้นขอทนายความเพื่อบอกคุณว่าจะทำอย่างไรและทำมัน ไม่ต้องกังวลว่าจะเป็นเสียง

หรือทำสิ่งที่ลูกค้าของคุณถามโดยเชื่อว่าพวกเขาได้ตรวจสอบกับทนายความ ตรวจสอบให้แน่ใจว่ามีการบันทึกการสนทนา


Therefore, get a lawyer to tell you what to do, and do it. Don't worry whether it's sound. Or, do what your client asks, trusting that they have checked with a lawyer. Make sure there's a record of the discussion.ที่จะตอบสนองข้อผูกมัดทางกฎหมายและการเมืองของคุณต่อลูกค้า ฉันคิดว่า OP (ถูกต้อง) มีความสนใจในการช่วยเหลือลูกค้าให้ปฏิบัติตามข้อกำหนดทางกฎหมายของพวกเขามากขึ้น (ถึงแม้ว่าลูกค้าในปัจจุบันดูเหมือนจะเข้าใจผิดข้อกำหนดทางกฎหมายของพวกเขาเอง
Lie Ryan

3

คุณจะร้องไห้อย่างไร สิ่งที่คุณได้รับคือ HTML และสิ่งที่คุณส่งให้ลูกค้าและการตอบสนองทางอิเล็กทรอนิกส์จากลูกค้า ไม่เกี่ยวข้องกับสกรีนช็อต

ภาพหน้าจอเป็นสิ่งที่เบราว์เซอร์แสดงผลและจะแตกต่างกันบ้างขึ้นอยู่กับเบราว์เซอร์ที่ใช้งานและการตั้งค่าและอุปกรณ์ในส่วนอื่น ๆ โดยส่วนตัวฉันเรียกดูโดยใช้ Firefox, Chrome, Opera, Mobile Safari บางครั้ง Lynx และแม้แต่ IE เล็กน้อย

คุณสามารถแสดงหน้าเว็บในเบราว์เซอร์มาตรฐานที่ส่วนท้ายของคุณและจับภาพหน้าจอนั้น แต่การสร้างเอกสารของคุณเองและการบันทึกมันจะไม่สร้างความประทับใจให้ผู้ตัดสิน คุณสามารถขอให้ผู้ใช้ส่งภาพหน้าจอได้ แต่ขอให้โชคดีในการบังคับใช้ อุปกรณ์การเรียกดูบางรายการมีวิธีที่ชัดเจนในการถ่ายและส่งภาพหน้าจอ (คุณจะทำอย่างไรกับ iPhone ได้) หากคุณกำลังติดต่อกับลูกค้าที่มีปัญหาด้านการมองเห็นโดยใช้โปรแกรมอ่านหน้าจออาจไม่มีการแสดงภาพใด ๆ เลยในตอนท้ายของไคลเอ็นต์ (ฉันเห็นเพื่อนตาบอดสองคนของฉันใช้คอมพิวเตอร์พกพาซึ่งไม่มีการแสดงใด ๆ )

ดังนั้นให้อธิบายกับลูกค้าว่าไม่มีวิธีรับภาพหน้าจอและอาจไม่มีหน้าจอสำหรับถ่ายภาพ


1
iPhone: กดปุ่ม LOCK ค้างไว้สองสามวินาที Android: รูตคิตโทรศัพท์และอธิษฐาน (ฉันได้รับจุดที่คุณทำเพียงแค่พูดใน '…)
BRPocock

3

เป็นไปได้จริง ๆ ที่จะสร้างการควบคุมการเข้าถึงที่จำเป็นร่วมกับ Trusted Timestamp Plus Digital Signature สำหรับฐานข้อมูลเพื่อให้แน่ใจว่าค่าของคอลัมน์สามารถเชื่อถือได้ ภาพหน้าจอไม่ใช่คำตอบที่ถูกต้อง แต่มีวิธีแก้ไขปัญหาคอมพิวเตอร์ที่เชื่อถือได้ที่บรรลุสิ่งที่คุณต้องการจะบรรลุ หากคุณต้องการรายละเอียดเพิ่มเติมคุณสามารถเริ่มแชทกับฉันได้


2

คุณไม่สามารถพิสูจน์ได้ว่าบุคคลนั้นเห็นด้วยหรือไม่ทางออกที่ดีที่สุดคือ:

ก) ให้บุคคลนั้นยืนยันข้อตกลงของพวกเขาผ่านลิงก์ที่ส่งไปยังที่อยู่อีเมลของพวกเขา (เพื่อให้แน่ใจว่าพวกเขาไม่ได้ป้อนเพียงแค่ billgates@microsoft.com)

b) ให้ทางเลือกแก่พวกเขาในการยกเลิกการสมัครจากการตลาด / การส่งเสริมการขาย


2

สคีมาที่ใกล้เคียงกับการพิสูจน์การงัดแงะมากที่สุดคือการสร้างคู่คีย์สาธารณะ / ส่วนตัวเมื่อผู้ใช้กรอกแบบฟอร์มโดยใช้ Javascript (ฝั่งไคลเอ็นต์) จากนั้นส่งเนื้อหาแบบฟอร์มรหัสสาธารณะและลายเซ็นไปที่ เซิร์ฟเวอร์และนำเสนอไพรเวตคีย์ให้กับผู้ใช้และขอให้พวกเขาจดบันทึกและเก็บไว้ที่ใดที่หนึ่งที่ปลอดภัย

ด้วยสคีมานี้คุณจะสามารถพิสูจน์ได้ว่าเป็นไปไม่ได้ที่จะแก้ไขข้อมูลในแบบฟอร์มเนื่องจากคุณไม่รู้จักคีย์ส่วนตัวที่ใช้ในการสร้างลายเซ็น จุดอ่อนของสคีมานี้คือคุณต้องสามารถพิสูจน์ได้ว่าคุณไม่เคยสัมผัสไพรเวตคีย์และผู้ใช้จะต้องไม่สูญเสียคีย์ส่วนตัว

เนื่องจากคุณจะต้องสามารถพิสูจน์ได้ว่าคุณไม่เคยมีสิทธิ์เข้าถึงไพรเวตคีย์ดังนั้นจึงจำเป็นต้องมี HTML และ Javascript ทั้งหมดเมื่อสร้างลายเซ็นฟอร์ม สิ่งนี้พิสูจน์ให้เห็นว่าผู้ใช้ใช้ในการส่งข้อมูล (ดังนั้นจึงพิสูจน์ได้ว่าคุณไม่ได้แก้ไขฟอร์ม / จาวาสคริปต์ตั้งแต่การส่งดังนั้นพวกเขาจึงพิสูจน์ว่าคุณไม่ได้ใช้จาวาสคริปต์เพื่อขโมยกุญแจส่วนตัว)

สคีมานี้มีความซับซ้อนและเช่นเดียวกับระบบที่ซับซ้อนใด ๆ ฉันไม่สามารถรับประกันได้ว่าจะไม่มีรู (อันที่จริงฉันมั่นใจค่อนข้างมากว่ามี


2

ภาพหน้าจอจะไม่ได้รับการพิสูจน์มากเนื่องจากไม่มีวิธีการตรวจสอบว่าภาพหน้าจอเป็นของจริง ที่สามารถแกล้งได้ง่าย เท่าที่โซลูชั่นทางเทคนิคเพิ่มเติมไปมีเครื่องมือจัดเก็บข้อมูลถาวรสำหรับ MySQL ที่รองรับการแทรกและเลือกเท่านั้น คุณไม่สามารถลบออกจากตารางเลย ในใจคุณอาจเป็นไปได้ที่จะเปลี่ยนตารางไปยังเครื่องมือจัดเก็บข้อมูลต่าง ๆ ลบบันทึกแล้วเปลี่ยนตารางเพื่อเปลี่ยนเครื่องยนต์กลับโดยไม่มีใครสังเกตเห็น แต่หวังว่าคุณจะสามารถ จำกัด การรูทนั้นและอนุญาตให้รูทเข้าสู่ระบบในเครื่องเท่านั้น . จากนั้นคุณสามารถติดตามการเข้าสู่ระบบฐานข้อมูลท้องถิ่นที่แท้จริงเพื่อหาว่าใครเป็นผู้เปลี่ยนแปลง คุณยังสามารถวิเคราะห์บันทึกไบนารีหรือเปิดใช้งานบันทึกการสืบค้นข้อมูลดิบเพื่อดูว่าใครสามารถออกแบบสอบถามซึ่งส่งผลให้เกิดกิจกรรมประเภทนี้ ฉันไม่แน่ใจว่าคุณใช้เทคโนโลยีฐานข้อมูลใด แต่ส่วนใหญ่แล้วคุณน่าจะสามารถหาวิธีแก้ปัญหาที่ป้องกันไม่ให้ข้อมูลเปลี่ยนแปลงได้ง่าย


2

ฉันจะแนะนำให้คุณนั่งลงและอ่านพระราชบัญญัติ ESIGN พระราชบัญญัตินี้ครอบคลุมสิ่งที่เป็นและไม่จำเป็นต้องบันทึกลายเซ็นอิเล็กทรอนิกส์เพื่อให้มีผลผูกพันตามกฎหมาย ที่นายจ้างคนก่อนเราพบว่าอุปสรรค์ตามกฎหมายที่ยากที่สุดคือการทำให้ลายเซ็นและเอกสารสามารถอ่านได้นาน 10-15 ปีในอนาคต

รายละเอียดของแต่ละแบบฟอร์มที่กรอกจะต้องได้รับการบันทึกในวิธีการที่เชื่อถือได้ เห็นได้ชัดว่าการบันทึกค่าฟอร์มในฐานข้อมูล - คอลัมน์ที่ระบุว่าผู้ใช้เห็นด้วยหรือไม่เห็นด้วย - ยังไม่เพียงพอเพราะอาจมีการเปลี่ยนแปลงฐานข้อมูลหลังจากที่ผู้ใช้ส่งแบบฟอร์มแล้ว ลูกค้าของเราอ้างว่าพอร์ทัลวิทยาลัยอื่น ๆ สร้างภาพหน้าจอของแบบฟอร์มกรอกข้อมูลและบันทึกไว้ที่ใดที่หนึ่งในโฟลเดอร์เฉพาะในลักษณะที่พบได้ง่ายเช่นให้ชื่อไฟล์ที่มีชื่อผู้ใช้และวันที่ และเวลา

ตามที่คนอื่น ๆ ได้ชี้ให้เห็นภาพหน้าจอเป็นสิ่งที่ไม่สามารถทำได้ มันอาจแกล้งทำเป็นว่าการแสดง "มายากล" ทั้งหมดเป็นของปลอมล้วนๆ: คุณเห็นคนที่ถูกเลื่อยครึ่ง แต่จริง ๆ แล้วพวกเขาไม่ได้รับการแปรรูปในครึ่ง


1

ฉันจัดการกับส่วนแบ่งของฉันบ้าก่อน ฉันสามารถคิดถึงโซลูชันทางเทคนิคบางอย่าง แต่ทำไมไม่กลับไปหาลูกค้าและแนะนำการอ้างอิงคำถามว่า 'คุณไม่ต้องการรับอีเมลการตลาดหรือไม่' (หรือถ้อยคำที่คล้ายกัน) และอนุญาตให้บุคคลที่ไม่เข้าร่วม? จากนั้นคุณไม่ต้องการภาพหน้าจอ


1

ตามที่ทุกคนกล่าวไว้ว่าคุณสมบัติทางเทคนิคและทางกฎหมายของคำขอคุณสมบัตินั้นไม่มีอยู่จริง ที่กล่าวว่ามีตัวเลือกหากอนุญาตให้ผู้ใช้ถ่ายและอัปโหลดภาพหน้าจอด้วยตนเองเป็นสิ่งที่แนบมาของฟอร์ม

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.