Názory k článku Jak robot spamoval e-maily uživatelů Heureky a jak jsme to vyřešili

Promiňte, ale to není dobrý nápad. Nebudu v e-shopu nakupovat na občanku, natož na Heuréce. Oni se mi taky neprokazují aktuálním výpisem z obchodního rejstříku.
Navíc bych se musel ke každé blbosti přihlašovat e-občankou (tu k tabletu jen tak nepřipojím), to není ochoten nikdo. A mít ze zákona ověřenou identitu na internetu pro cokoliv (jako v Číně), ne děkuji.
Kdyby tohle Heuréka zavedla, tak to může rovnou vypnout úplně.
Nehledě na to, že ověření e-občankou soukromoprávní subjekt nemůže dělat, nemůže ani ověřit klíč občanky, natož přistoupit na základě klíče k registrům.

Čistě osobně jsem ve válce s CAPTCHA/reCAPTCHA - tohle řešení mi neskutečně komplikuje život, protože mne stále vyhodnocuje jako robota. (Včera jsem byl vcelku úspěšný a probojoval se do webu po asi ani né deseti minutách usilovného klikání na obrázky.)
Neexistuje nějaké "lepší řešení"?
Když dokáže vyhodnotit spam můj mailbox, nemohl by to podobně dělat i vstup z formuláře?

Tak určitě pochvala za odvahu, že autor přizná, jakou šitku to vlastně provozují. Že to přepisují znamená, že mají asi pud sebezáchovy.
Ale divím, se že ty monitorovací a eskalační procedury mají jak za krále klacka. V principu nebyli schopni 2 dny zjistit, že se něco děje a krizový štáb zasedl až v pondělí odpoledne !! Monitorovat fronty na mailu nebo počty recenzí by měl i umět i nějaký plugin nagiosu a zobrazovat to přímo na monitoru na servicedesku je jen otázka nákupu televize a přimontování na zeď. Asi by to hned někoho trklo, kdyby to tam bylo červený.
Tak já nevím, možná by to chtělo ve vedení někoho, kdo zná trochu management průběžné správy služby a nastaví pravidla (nebo je prostě obšlehne z nějaké metodiky).
Jinak moc dík za článek!

Já ty mikrorecenze na zakoupené zboží povětšinou píšu, ale kdyby chtěl někdo po mě recenzi po ověření eobčankou, moje.id, ..., tak prostě ne. Oni po mě něco chtějí. Ne já po nich.

Jeden hajzl a jak dokáže potrápit. ;)

pořád chtějí řešit jejich monolitický problém mikroslužbami? :) Nepoučí se a nepoučí se.

Některé společnosti se asi potřebují spálit opakovaně než to začnou brát vážně.

No vidím tam spíš:
1) problémy v komunikaci mezi týmy a obecně přístup "moje kostička funguje"
2) selhání "nadtýmového" vedení - product ownera

Už ve čtvrtek 13:30 musí přijít tvrdá diktatura, vyčlenění nejseniornějších lidí z teamů, prokontaktování a jejich spolupráce řízená product ownerem.

Chudáci lidi na supportu, kteří žadoní "mohl by se na to někdo podívat?" a odpověď je "mě to lokálně funguje".

Jako dočasné řešení captchu beru, ale z dlouhodobého hlediska to podle mého názoru není řešení.
Asi kvůli nestandratním pluginům a nastavení prohlížeče se mi ve většině případů captchu úspěšně nepodaří projít. Když někde vidím captchu od googlu, okamžitě odcházím. Nemám za potřebí 5 minut klasifikovat hydranty a přechody pořád dokola a nakonec stejně failnout.
Mnohem lepší řešení by bylo nastavit přísný limit na počet založení účtu v nějakém čase na jednu IP a pak u všech účtů hlídat anomální chování a v případě podezření účet zaříznout a zkontrolovat, místo toho obtěžovat lidi co vaší stránku používají kvůli tomu, že si funkcionalitu nejste schopni sami jinak zabezpečit.

14. 5. 2020, 13:34 editováno autorem komentáře

Zcela jistě máte pravdu, že Heureka udělala chybu. Nechápu ale jak to souvisí s kolektováním osobních údajů. Myšlenka mi připomíná část vtipu "... a vy zase mlátíte černochy ...".

CAPTCHA je otravné i pro mne. Nedostatky se kterými se setkávám:
- někdy nepřehledný obrázek
- často nutno po přihlášení a potom ještě při odesílání příspěvku, dokonce na některých stránkách dojde tím k odhlášení, pokud chybné označení
- pro angličtinu neznalé na českých vebech v angličtině, co se má označit
- dle typu prohlížeče vůbec se nezobrazí, jen je vyžadována
- ... všechny problému jsem neuvedl, jen narychlo nejznámější.

Blbý je, že příští útok bude úplně jiného druhu, takže zavedená opatření (alerty, vnitřní procedury), pokud budou konkretizovány podle tohoto posledního spamového budou k ničemu. Není to jednoduchá disciplína tahleta bezpečnost. Prknama zatlučeš okna v prvním patře a příště ti podpálí kůlnu...

Tak to bych čekal že na to budou mít nějaký krizový tým který to za jeden den vyřeší. Při nejhorším spolupráci s nějakým externím subjektem.

Já bych udělal dvě okamžité řešení (nebo jedno či druhé):

1. Všechny formulářové příspěvky, které obsahují daný odkaz či jeho část, bych prostě ignoroval/zaha­zoval. Spammer úplně rychle nezjistí, že jeho akce nefunguje a tudíž nebude hledat nové metody útoku.

2. Zavedl bych formulářové potvrzování s nějakou vtipnou captchou typu jako mají např. zde na lupě při registraci, viz. "Napište s diakritikou, jak se říká dni na začátku dubna, kdy si lidé provádějí vylomeniny" :)

Je to velká firma, to chápu, ale řešení mohlo přijít rychle v řádu minut a beze škod. Ale z vlastní zkušenosti vím, že se to snadno kecá a po bitvě každý generál :) Než se na to přijde, než se člověk zorientuje, než ho něco napadne a implementuje to, atp. čas běží.

Takové problémy by odpadly, kdyby se na takovýchto komečních nebo komunitních službách nepožíval prakticky anonymní přístup, ale "identifikace s vysokou úrovní záruky". Tedy oObčanka nebo něco podobného.

Jen tvrdím, že by takové problémy pominuly. Nějaké další by vznikly, ale ty co uvádíte, jako že je problém se čtečkou nebo s přístupem k registrům, jsou jen technické a dočasné.
Hlavní problém je mentální - není to zvykem. Historicky anonymita na internetu vznikla z technických důvodů a bude se to těžko měnit.