Анонимность в чате

смотря от кого прячешься

не позволяла задосить себя мильёном фейковых аккаунтов.

Ну можно сделать какой-нибудь proof of work, например заставить при реге нового аккаунта факторизовать большое число или найти коллизию с хешем. Или разгадать миллион капч. Или на худой конец заплатить что-нибудь в некоей криптовалюте.

А чем децентрализация поможет? Децентрализация подлечит, если какой-то нехороший человек топором перерубит магистральный кабель. Но от макаки с гранатой, которая будет генерить новых юзеров, она не спасёт.

Децентрализация поможет отсутствием сервера. Нет сервера - нет проблемы его доса.

капча при реге и стандартная антиддос-защита

Что такое «слишком много»?

Что такое «слишком много»?

Стопятьсот мильёнов, которые забьют всю базу под завязку.

Попроси бомжа купить тебе симку.
/thread

которые забьют всю базу под завязку.

какую ещё базу, у тебя же децентрализованное решение :P

Почему у других таких проблем не возникало?

Почему у других таких проблем не возникало?

У кого конкретно? У телеги вот не возникало, например, потому что есть регистрация по номеру телефона, а телефонных номеров ограниченное количество.

У ICQ такой проблемы не возникало, хотя казалось бы.

У ICQ такой проблемы не возникало, хотя казалось бы.

Я не знаю, почему у ICQ не возникало такой проблемы. Но это фактическая уязвимость всей системы. Если этим никто не пользовался, значит либо были какие-то ограничивающие механизмы, либо было всем пофигу в то время.

Сколько там знаков было, девять-десять?

Сделай строковые числа «123456789012345678901234567890», а не int32/int64.

У токса есть nospam, например

http://www.psstchat.com/

Но так, чтобы какой-либо пользователь-злоумышленник не смог наплодить миллиард аккаунтов и задосить сервер?

Децентрализация, например. Лимиты. Без серверов. Но ни у кого обычно такого не возникает из помыслов. Все эти логины по номеру телефона сделаны не от миллиарда аккаунтов (аккаунты на биржах, как и номера телефонов для массовых регистраций продают только так), а именно для твоей деанонимизации и для того, чтобы ты не мог завести вторую, третью, четвёртую личность.

Используй снарки.

Дело не в фейковости аккаунтов, а в том, что их можно нагенерить слижком много.

Для защиты от автоматической регистрации можно использовать широкий спектр ограничений. Например капча или proof-of-work.

Самый нормальный вариант это прикрепить к месенджеру крипту, эфир какой-нибудь. Стоимость активации аккаунта вычисляется по индексу безопасности в данное время.

никаких имён, только uuid и пароль

Очень просто - сервака не должно быть, все должно быть децентрализовано или банить ботов при помощи машинного обучения и прочих радостей из big data.

Каптча ещё. Пусть пишет скрипт при реге. Будет учить компьютер видеть.

Все ради удобства

Всё ради слежки и не спецслужбами, а рекламщиками...

А как же старое доброе фото с паспортом?

Базой ты назвал блокчейн? Ну да, забьёт... Иди учи матчасть.

У того же скайпа до покупки мелкомягкими...

Откуда вы лезете только? Пол треда клоунов, ей богу.

я не знаю откуда ты вылез с такими вопросами... ехай нх

Этот бред с авторизацией так и будет вылезать каждые две недели?

запили по человечи ключи https://github.com/bitcoin/bips/blob/master/bip-0032.mediawiki

Да не, он то все правильно сказал про эфир. Через десять лет треть интернетов на эфир завязано будет. А на оставшуюся часть будут смотреть как сегодня на вордпресс.

Сам юзаю web3 приложения - экспириенс вполне годный. Никаких тебе регистраций на каждом сайте, единые аккаунты по всему. Секьюрная авторизация, а не то недоразумение с номерами телефонов или, упаси бог, с емейлами.

Пиши в чате непонятно, тогда тебя никто ни в чем не обвинит.

но ты не создаш 100500 доменов, а имеющиеся быстро улетят в спам-лист

Дело не в фейковости аккаунтов, а в том, что их можно нагенерить слижком много. Я не помню по поводу аськи, но там тоже, наверняка, был какой-то механизм сдерживания.

Капча жи. Я помню, как я по 20 минут вводул гуглкапчу на дваче - что-то подобное нужно сделать. Но есть минус - отсеивает ненастойчивых.

90% слишком тупы и забывают\не могут придумать логин, а у оставшихся 50% такая же проблема с паролем. Все ради удобства, поэтому у ватсапа 1.5 лярда пользователей а у токса 2.5 анона.

Мне кажется, что ты забываешь, что всякие ватсапы, впашки, и телеграммы не возникают на ровном месте, типа «мы просто сделаем хороший сервис, а люди сами придут». Нет, там вливается куча бабок для того, чтобы сервис раскрутить. Токс никто не раскручивает просто. Когда я пытался пиарить жабер среди знакомых - ты думаешь кто-то из них сказал «ну аська же намного удобнее» или «скайп такой простой в пользовании - не сравнится с жабером»? Хрен там, аргумент был ровно один «у меня же все друзяшки на асечке/скайпике/вконтактике/ватсапчике/сервиснейме». 95% людей слишком тупы, чтобы вообще париться вопросами выбора.

Ты не видишь противоречия в одном и том же предложении?

идентификацию пользователя
не сдеанонить его

Может, если поверхностно смотреть на вопрос, кажется, что это разные вещи, но если копнуть глубже, то окажется, что это одно и тоже.

Вот попробуй прочитать определение анонимности в википедии.

Ну вот да, для поверхностного взгляда кажется что противоречие есть, но с правильной криптографией оно разрешается. ОП говорит лишь об ограничении регистрации (например, по номеру телефона), а не чтобы сообщения можно было связать с конкретными номерами.

Да чушь это все, оправдания неудачников. Выстреливают отдельные стартапы, в них во все вливаются деньги на разработку и раскрутку, но при этом всем большая часть успешно проваливаются в адопшне. Это не так, что «давайте мы сейчас раскрутим воцап», обычно скорее было так, что от воцапа сильно ничего никто не ждал, а потом «вот воцап взлетел, давайте мы его купим и будем продвигать дальше».

Но вот если проект - дно, то ему никакая раскрутка не поможет, сколько не вливай. Все эти Tox (релизация) и XMPP (соостояние сообщества) из этой категории.

Да чушь это все, оправдания неудачников. Выстреливают отдельные стартапы, в них во все вливаются деньги на разработку и раскрутку, но при этом всем большая часть успешно проваливаются в адопшне.

Да? А что ты мне скажешь по поводу Slack, который стабильно приносит 200 млн долларов убытков в год? Не, я не спорю, что есть проекты, которые даже не взлетают. Ты уже не помнишь, как вотсап был куском дерьма, который падал больше, чем работал, которым пользовалось два с половиной анона? Вот это был настоящий народный продукт. Потом пришли инвестиции, в том числе от Секвои, которая спонсировала разработку многих перспективных средств слежения за пользователями. И только потом возникла популярность, а потом и покупка фейсбуком.

Зачем нужна регистрация если нет необходимости связывать данные пользователя(сообщения, файлы, etc) с пользователем?

Обеспечение анонимности - это меры создающие условия при которых не представляется возможным установить связь между контентом пользователя и пользователем. Регистрация это первый шаг к деанонимизации.

Очевидно из контекста, что здесь речь идёт не об анонимности, а о псевдонимности.

Zubok:

А у тебя были раньше с этим проблемы, когда, например, аська была? Ну вот была куча фейковых аккаунтов. Кому от этого плохо-то было?

hateyoufeel:

У ICQ такой проблемы не возникало, хотя казалось бы.

На самом деле, вполне себе возникало.

Лет пятнадцать–десять тому назад, пока ICQ была на пике популярности в exUSSR, существовала целая сцена, связанная с угоном, перепродажей и массовой регистрацией ICQ–номеров. Старые номера, длиной в пять или шесть знаков — угонялись путём подбора пароля, либо эксплуатацией уязвимостей в серверах Mirabilis, затем перепродавались на форумах вроде asechka.ru.

Новые аккаунты массово регистрировались для вычленения «красивых» девятизначных номеров (симметричных, с одинаковыми цифрами, либо под дату рождения или номер телефона) — произвольный номер просто так получить было нельзя. «Некрасивые» нарегенные номера потом продавались за копейки тысячами штук — под спам/флуд. Со временем появилась капча при регистрации номера, но сильно это не помогло.

Помимо того, процветал сопутствующий бизнес в виде платного приватного софта для автоматизации вышепереичисленных активностей, либо для извлечения с серверов ICQ информации, недоступной через обычный клиент. Диапазоны номеров массово сканировались на предмет сбора данных (персональные данные из профиля, дата последнего изменения профиля, адреса эл. почты), полученные базы потом также перепродавались, целиком, либо как сервис.

Само–собой, были платные услуги спама/флуда. С этим пытались бороться — ограничивать количество сообщений с одного номера в единицу времени, например. Но, когда одновременно прилетает множество запросов на добавление в контакты — каждый с разного номера и набит анимированными смайлами — кривой клиент мог не только зависнуть, но и сожрать всю память на машине, делая дальнейшее пользование ей затруднительным (привет reset).

Как уже правильно сказали, самое действенное — это proof of work. Сделать обязательным для регистрации выполнение неких операций, приемлемых однократно (например, десять минут тяжёлых вычислений), но делающих массовую регистрацию нерентабельной. Увязывать в блокчейн, кстати, необязательно.

Капча — это универсально–плохое решение. Как минимум, потому что она дёшево решается если не нейросеткой, то человеками из стран третьего мира. Рекапча — это ещё и необходимость для пользователя связываться с гуглом и запускать у себя чужой исполняемый код на js — какая уж тут псевдонимность. Даже матановая капча — и та уже не панацея, благодаря WolframAlpha.

Сканы паспорта и подобное селфи — так же глупо и плохо. Во–первых, огромные затраты на верификацию — нужно держать специально обученных человеков. Робота можно закидать синтезированными скриншотами с наворованными из социалочек фоточками. Во–вторых, обработка персональных данных — больное место, бюрократия, несовершеннолетние, проблемы с властями и негативная репутация среди анонимусов.

Платная регистрация — тоже плохо. Как показал пример whatsapp — обычному пользователю даже бакс отдавать может быть лениво. Опять же, персональные данные, платёжные системы, процессинг, вот это вот всё.

однозначно идентифицировать пользователя, но с другой стороны не палила его

Пользоваться доверенным провайдером аутентификации.

1. забыть про аську и числовые user_id. используй uuid. их тебе надолго хватит
2. дропать аккаунты не проявлявшие активности n месяцев.
3. перестань экономить байтики хранилища. хуже преждевременной оптимизации только преждевременная эякуляция.

в общем случае эта задача нерешаема. боты - неизбежное зло анонимных сетей. наверное, можно отчасти решать это ключами и фильтрацией по ключам. но боты всё равно будут создавать нагрузку.