Chciałbym wyjaśnić jak działa identyfikacja za pomocą numeru IP, ciasteczek i konta. Chcę też uporządkować dotychczasowe dyskusje na ten temat.
IP
Każde urządzenie w internecie ma unikatowy numer IP. Teoretycznie sprawia to, że nasza strona internetowa może sprawdzić, że z danego komputera oddano już głos. Ale w praktyce taka metoda identyfikacja jest bezużyteczna ponieważ często zdarzają się dwie sytuacje:
1. Każdy użytkownik Neostrady dostaje inny numer IP przy każdym podłączeniu się do sieci. Może więc oddać jakieś 10 głosów w ciągu minuty.
2. Małe sieci osiedlowe lub firmowe mają często jeden zewnętrzny numer IP. Jeśli więc na danym osiedlu mamy 10 zwolenników to tylko jeden z nich będzie mógł oddać głos.
Ciasteczka
Po oddaniu głosu nasza strona może zapisać na komputerze z którego oddano głos ciasteczko z taką informacją. Nie będzie więc możliwe oddanie głosu po raz drugi chyba, że użytkownik skasuje ciasteczka.
Konto
Tutaj też istnieje możliwość oszustwa. Jeden człowiek może założyć wiele kont i oddać wiele głosów.
Inne propozycje przystępowania do stowarzyszenia to:
- zwykły email (ale kont email można założyć wiele)
- podpisany dokument (nie ma żadnej weryfikacji podanych danych)
- formularz na stronie www (nie ma potwierdzenia niczego)
Można sobie wyobrazić, że dałoby się potwierdzić tożsamość przez:
- wykonanie połączenia telefonicznego na numer zadeklarowany przez zgłaszającą się osobę (o ile to telefon na abonament)
- potwierdzenie adresu zamieszkanie przez wysłanie na podany adres tajnego kodu (jeśli mieszkanie nie jest wynajmowane a skrzynki pocztowe dobrze zabezpieczone)
Jak więc widać żadna z tych metod nie daje nam pewności, że pojedyncza osoba oddała jeden głos. Myślałem nad tym długo i jedyne co wymyśliłem to potwierdzenie tożsamości przy pomocy przelewu bankowego. Banki patrzą każdej osobie w dowód. Być może potwierdzają dane osobowe w jeszcze jakiś inny sposób więc i my możemy mieć pewność, że dana osoba to ta osoba.
Samo zakładanie konta na naszej stronie można nieco uprościć. Istnieje mechanizm, który nazywa się "Open ID". Dzięki niemu nie trzeba zakładać konta na każdej nowej stronie. Jeśli dana strona posiada mechanizm Open ID - można się na nią zalogować używając loginu i hasła z innej strony (takiego dostawcy logowania Open ID, np.: http://openid.pl/). Jest to więc idealne rozwiązanie jeśli zdecydujemy się na posiadanie wielu stron.
Reasumując: w mojej opinii, założenie konta na stronie i przelew bankowy (w którego tytule podana jest niezmienialna nazwa użytkownika) to jedyny skuteczny sposób autentykacji nowego członka stowarzyszenia.
Przekonamy się naocznie jak wygodna jest ta metoda w momencie kiedy zaczną spływać składki członkowskie - będzie wiadomo ile osób dokonuje przelewu bankowego a ile woli przelew pocztowy lub gotówkę.
- Czy znacie inne sposoby na potwierdzenie tożsamości?
- Czy powinniśmy oglądać lub skanować dowody osobiste nowych członków?
- Jeśli zdecydujemy się na obdarzanie zaufaniem nowych członków - w którym momencie chcemy zweryfikować czy mówią prawdę? Czy wtedy kiedy będą kandydowali do władz stowarzyszenia? Czy nigdy?