चेकबॉक्स में से किसी एक पर क्लिक करने के कानूनी प्रमाण के लिए फॉर्म स्क्रीनशॉट?

45

हमें अपने ग्राहकों में से एक से एक अनुरोध मिला है, और चूंकि मैंने पहले कभी इस तरह के अनुरोध का सामना नहीं किया है, मुझे यह भी पता नहीं है कि कहां से शुरू करना है।

हमारा ग्राहक कॉलेजों का एक नेटवर्क है, और हम उन्हें एक साइट बना रहे हैं। उस साइट पर, अन्य बातों के अलावा, एक रूप होगा जो संभावित आवेदक भर सकते हैं ताकि किसी एक कॉलेज में पढ़ाई के बारे में अधिक जानकारी प्राप्त कर सकें। एक उपयोगकर्ता द्वारा इस फॉर्म को भरने के बाद - जिसमें उनका ईमेल और / या फ़ोन नंबर देना - संबंधित कॉलेज तब संबंधित जानकारी के साथ उनसे संपर्क करता है।

अब, कानूनी कारणों के लिए, ग्राहक पूछ रहा है कि इस फॉर्म में एक चेकबॉक्स भी है जो संभावित आवेदक को यह इंगित करने के लिए चेक करता है कि वे इन कॉलेजों से प्रचार सामग्री प्राप्त करने के लिए सहमत हैं। यह निश्चित रूप से कोई समस्या नहीं है। लेकिन यहाँ अनुरोध का अजीब हिस्सा आता है:

प्रत्येक भरे हुए फॉर्म का विवरण एक विश्वसनीय विधि में सहेजा जाना है। डेटाबेस में प्रपत्र मानों को सहेजना - यदि उपयोगकर्ता सहमत या सहमत नहीं है तो एक कॉलम - पर्याप्त नहीं है, क्योंकि उपयोगकर्ताओं द्वारा प्रपत्र भेजे जाने के बाद DB को बदला जा सकता है। हमारे ग्राहक का दावा है कि अन्य कॉलेज पोर्टल भरे हुए फॉर्म का स्क्रीनशॉट बनाते हैं, और इसे एक समर्पित फ़ोल्डर में कहीं पर सहेजते हैं, इस तरह से आसानी से मिल जाता है, जैसे कि फ़ाइल को एक नाम देना जिसमें उपयोगकर्ता का नाम और तारीख शामिल हो। और समय।

मेरा प्रश्न इस प्रकार है: क्या आपने स्क्रीनशॉट का उपयोग करने के बारे में सुना है जो उपयोगकर्ता को साबित करने की एक विधि के रूप में वास्तव में एक फॉर्म भर चुका है? क्या अन्य तरीके हैं जिन्हें विश्वसनीय माना जाता है?

legal  forms 
ले कोहेन
स्रोत
96
स्क्रीन शॉट्स को भी संशोधित किया जा सकता है - खासकर अगर डिस्क पर कहीं संग्रहीत किया गया हो।
ChrisF
41
मुझे लगता है: यह एक कंप्यूटर विज्ञान के प्रोफेसर हैं जो इस विचार के साथ आए थे। इनमें से कुछ लोग शानदार हैं। मुझे नहीं पता कि वे इसे कैसे करते हैं, लेकिन वे जिन विचारों के साथ आते हैं वे अक्सर असली होते हैं जैसे कि वे एसिड पर थे।
माइक नाकिस
32
प्रतीक्षा करें - वे डेटाबेस में ई-मेल पते और अन्य व्यक्तिगत जानकारी सहेज रहे हैं, लेकिन "सुरक्षा समस्या" वे इस बारे में चिंतित हैं कि क्या उस उपयोगकर्ता ने गलती से प्रचारक ई-मेल प्राप्त किया है?
साने डे
11
"एक फ़ोल्डर में जो आसानी से नहीं मिलता है" - आह, सुरक्षा अस्पष्टता के माध्यम से! यह एक सुरक्षित सर्वर पर रखे गए डेटाबेस की तुलना में अधिक सुरक्षित है, इसके लिए लॉगिन क्रेडेंशियल्स आदि की आवश्यकता होती है ...
डेव
19
स्क्रीन शॉट से भी बेहतर यह होगा कि यदि आप उपयोगकर्ता के वेबकैम से उनके वीडियो क्लिप को चकमा दे सकते हैं और एक बड़ा 'अंगूठे ऊपर' संकेत दे सकते हैं। अब यह सबूत होगा!
ग्रैंडमास्टरबी

जवाबों:

74

मैंने ऐसा कुछ कभी नहीं सुना है, और यह हास्यास्पद होगा, क्योंकि एक नकली स्क्रीनशॉट एक डेटाबेस में नकली मूल्य के रूप में आसानी से उत्पादित किया जा सकता है।

संपादित करें इसके अलावा, मेरा मतलब है, डब्ल्यूटीएफ? चूँकि आपको वेब पर किसी की स्क्रीन का स्क्रीनशॉट नहीं मिल सकता है, तो आपको स्पष्ट रूप से सर्वर पर पेज को फिर से बनाना होगा और उस का स्क्रीनशॉट लेना होगा, और फिर यह कौन कहे कि आपने इसे डॉक्टर नहीं बनाया है?

माइक नाकिस को दर्शाता है
स्रोत
1
+1 अच्छा बिंदु, मैंने यह नहीं माना कि HTML को रेंडर करने के लिए कोई तकनीकी रूप से प्रोग्रामेटिक ब्राउज़र चला सकता है और फिर संभवतः प्रिंट ड्राइवर बनाने के लिए पेज को एक पीडीएफ दस्तावेज़ में भेज सकता है।
maple_shaft
जैसा कि वास्तव में नियमित रूप से किया जाता है। यह करना बहुत आसान है, सिद्धांत रूप में आप सिर्फ 2 xsl को एक ही डेटा भेज सकते हैं: टेम्पलेट्स के लिए, एक html और दूसरा पीडीएफ बनाने में (मैंने वास्तव में अतीत में ऐसा किया है)।
12
1
@ जान्विंगिंग के बावजूद माइकनीकिस ने पहले ही इशारा कर दिया था, फिर भी इससे छेड़छाड़ की जा सकती है। आपको या तो इलेक्ट्रॉनिक रूप से हस्ताक्षरित पीडीएफ का उपयोग करना होगा या छवि का हैश बनाना होगा ताकि आप स्क्रीनशॉट को मान्य करने के लिए इसका उपयोग छेड़छाड़ न करें।
maple_shaft
24
"बस के रूप में आसानी से"? नकली स्क्रीनशॉट एक डेटाबेस को हैक करने की तुलना में बहुत आसान है!
जेसविन जोस
4
हम ऐसा कुछ अनुप्रयोगों में करते हैं जो मैं बनाता हूं .. तकनीकी रूप से यह "स्क्रीनशॉट" नहीं है, लेकिन ऑडिट उद्देश्यों के लिए हमें सत्र को "फिर से बनाना" पड़ता है क्योंकि यह उस समय था। हम इसे सबमिट किए गए फ़ॉर्म से डेटा को सहेजकर और बाद में इसे फिर से संगठित करके प्राप्त करते हैं। लेकिन यह कहते हुए कि, यह सिर्फ एक डेटाबेस में सहेजा गया है और "स्क्रीनशॉट" हमारे द्वारा सहेजे गए डेटा का सिर्फ एक पुनर्निर्माण है। यह सिर्फ उन लोगों के लिए सुंदर लग रहा है जो इसे चाहते हैं।
डेको
35

मुझे पता है कि मैं एक सवाल के साथ इस जवाब की शुरुआत कर रहा हूं लेकिन मेरे पास एक बिंदु है:

अनुरोध की कथित गैरबराबरी पर सवाल उठाए बिना, अगर यह एक विशिष्ट HTTP ब्राउज़र आधारित वेब अनुप्रयोग है, तो कोई प्रोग्राम को स्क्रीनशॉट पर कब्जा करके सर्वर पर कैसे भेजेगा?

मुझे उम्मीद है कि यह असंभव है क्योंकि यह एक गंभीर ब्राउज़र सुरक्षा और गोपनीयता चिंता का प्रतिनिधित्व करेगा।

अब कल्पना करें कि स्क्रीनशॉट कैप्चर के समय कोई व्यक्ति क्रेडिट कार्ड नंबर स्क्रीन पर था या नहीं। अब आप अनजाने में क्रेडिट कार्ड की जानकारी हासिल कर सकते हैं और आपका सिस्टम अब पीसीआई के अनुरूप होना चाहिए। यह चिंता का एक और अवसर है।

इसे करने का एकमात्र तरीका शायद तीसरे पक्ष के ब्राउज़र प्लगइन का उपयोग करना होगा, जैसे कि, फ्लैश, सिल्वरलाइट, जावा ऐप्पलस, या एलिवेटेड सिस्टम विशेषाधिकारों के साथ एक ActiveX नियंत्रण। घटक पर हस्ताक्षर करने की आवश्यकता होगी और उपयोगकर्ता को अपने मशीन पर चलाने के कोड तक पहुंच वाले घटक से सहमत होने की आवश्यकता होगी।

इस योजना के साथ बहुत सारे छेद हैं और मुझे गंभीरता से संदेह है कि अन्य कॉलेज कुछ इसी तरह लागू करते हैं। मैंने निश्चित रूप से अपने पेशेवर कैरियर में ऐसा कभी नहीं सुना है, कम से कम एक वेब एप्लिकेशन के साथ नहीं।

संपादित करें:

मैं सिर्फ एक और विकल्प के बारे में सोचता हूं जो शायद बहुत अधिक प्रतिबिंबित करेगा कि मुझे क्या लगता है कि आपका ग्राहक वास्तव में पूछ रहा है।

मेरे पास एक ऐसा एप्लिकेशन था जो मैंने एक क्लाइंट के लिए किया था, जहां क्लाइंट को सहमत होना पड़ा और एप्लिकेशन तक पहुंच प्राप्त करने के लिए एनडीए दस्तावेज़ पर हस्ताक्षर करना पड़ा। मैंने एक सिग्नेचर पीडीएफ डॉक्यूमेंट के जरिए इसे हासिल किया। आपके पास एक पीडीएफ दस्तावेज़ में एक हस्ताक्षर क्षेत्र हो सकता है जो या तो पेन + पैड यूएसबी घटक का उपयोग करके या केवल इसे स्वीकार करने के लिए क्लिक करके कानूनी उद्देश्यों के लिए होगा जैसे कि आप शारीरिक रूप से हाथ से दस्तावेज़ पर हस्ताक्षर किए थे।

इसे इलेक्ट्रॉनिक हस्ताक्षर कहा जाता है और वे अदालत में पकड़ बनाते हैं।

हस्ताक्षर किए जाने के बाद पीडीएफ दस्तावेज़ एन्क्रिप्ट किया गया है और इसके साथ एक हैश संग्रहीत किया गया है जो सत्यापित करता है कि दस्तावेज़ पर हस्ताक्षर करने के बाद छेड़छाड़ नहीं की गई है। एडोब जैसे आधुनिक पीडीएफ रीडर वास्तव में एक हस्ताक्षरित दस्तावेज़ को एक सर्वर पर प्रेषित कर सकते हैं जहां आप इसे सुरक्षित रखने के लिए दस्तावेज़ प्रबंधन प्रणाली या डेटाबेस में संग्रहीत कर सकते हैं।

किसी भी समय व्यवस्थापक उपयोगकर्ता इनमें से किसी एक दस्तावेज़ को याद कर सकते हैं और उन्हें प्रिंट कर सकते हैं।

यह आपके ग्राहक की वास्तव में जरूरत की तर्ज पर अधिक हो सकता है, लेकिन ठीक से समझाने का खराब समय था।

मेपल_शाफ्ट को दर्शाता है
स्रोत
1
उल्लेख है कि इस तकनीकी रूप से संभव है, लेकिन में एक प्लग की आवश्यकता होगी के लिए +1
bunglestink
10
तो क्या आप एक के साथ पीडीएफ को बदलने से रोकते हैं जो आपने खुद पर हस्ताक्षर किए हैं? जहां तक ​​मुझे पता है, व्यक्तियों की पहचान से निपटने के लिए एक मजबूत सार्वजनिक बुनियादी ढांचा नहीं है।
रैंडम 832
1
@ Random832 चेकमेट मेरे दोस्त, तुम मुझे मिल गए! मुझे लगता है कि कोई 100% सुरक्षित उत्तर नहीं है। किसी भी व्यवस्था से समझौता किया जा सकता है।
maple_shaft
3
यह निश्चित रूप से एक प्लग की आवश्यकता नहीं होगी; ध्यान दें कि Google के नवीनतम फ़ीडबैक टूल (Google प्लस और Youtube पर) वास्तव में यह "स्क्रीनशॉट" करते हैं। आप आसानी से JAvascript के माध्यम से एक वर्तमान पृष्ठ पर सभी HTML भेज सकते हैं और एक छवि की तरह दिखने के लिए उचित स्टाइल शीट का उपयोग कर सकते हैं। बेशक यह ^% और * आईएनजी बेतुका है क्योंकि आप सिर्फ चेक बॉक्स का मूल्य भेज सकते हैं।
बेन ब्रोका
मैंने एक विजेट लिखा है जो एक CANVAS तत्व में माउस आंदोलनों को कैप्चर करता है और कैप्चर किए गए समय, X, Y को सर्वर में वापस समन्वयित करता है। मुझे पूरी तरह से यकीन नहीं है कि इस तरह के "हस्ताक्षर" की कानूनी स्थिति क्या है (इसे बदला जा सकता है और नकल करना काफी आसान है) लेकिन अगर यह एकमात्र ऐसी चीज है जो वे सिस्टम पर "साइन" करते हैं तो यह समझाना मुश्किल होगा कि कैसे यदि आपको सहमति नहीं है तो आपको वह डेटा मिला है। (मुझे नहीं पता कि क्या होता है अगर उनके बच्चे का भाई "पिज्जा" पर हस्ताक्षर करता है, लेकिन पीडीएफ उसी समस्या से ग्रस्त है)।
Psr
27

मुझे लगता है कि असली सवाल यह होगा कि जिस व्यक्ति का नाम फॉर्म में दिखाई दे रहा है वह वास्तव में फॉर्म भरता है?

दूसरे शब्दों में, यदि कोई व्यक्ति वेबसाइट पर जाता है और "बिल गेट्स" नाम दर्ज करता है और बॉक्स पर क्लिक करता है "यह मुझे ईमेल भेजने के लिए ठीक है" तो स्क्रीनशॉट कैसे साबित होगा कि यह वास्तविक बिल गेट्स है?

क्या उन्होंने ऐसा करने पर विचार किया है कि बहुत सारी साइटें क्या करती हैं और यह एक अद्वितीय लिंक के साथ एक सत्यापन ईमेल भेजती है जिसे किसी को पुष्टि करने के लिए क्लिक करना पड़ता है? इस तरह से कम से कम आपके पास एक रिकॉर्ड है जो आपके पास उस ईमेल खाते तक पहुंच वाले किसी व्यक्ति से पुष्टि करता है।

JonnyBoats
स्रोत
4
ठीक ठीक। सत्यापन ईमेल यह सुनिश्चित करने के लिए कि ईमेल का अनुरोध करने वाले व्यक्ति के पास प्रश्न में ईमेल पते का नियंत्रण है। मैं यह भी जोड़ना चाहूंगा कि प्रचार सामग्री का अनुरोध करने वाले लोगों का कानूनी रिकॉर्ड होने के बजाय, आप केवल CAN SPAM अधिनियम का अनुपालन कर सकते हैं और अपनी प्रचार सामग्री को अनसब्सक्राइब करना बहुत आसान बना सकते हैं । (हर ईमेल जो प्रचार सामग्री भेजता है, भले ही इसकी थर्ड पार्टी द्वारा उन सभी सूचियों को अनसब्सक्राइब करने के लिए एक लिंक है, जिन्हें आप डालते हैं।)
dr jimbob
20

ऐसी कोई बात नहीं

इस चर्चा को समझने के लिए कोई रास्ता नहीं है कि वहाँ से प्रारंभ करना होगा बिल्कुल साबित होता है कि व्यक्ति पर सहमत हुए। भौतिक दुनिया में भी यह सच है। यहां तक ​​कि अगर आप शारीरिक रूप से हस्ताक्षर करने वाले व्यक्ति पर वीडियो बनाते हैं और फार्म पर अपने खून की एक बूंद डालते हैं, तो वे कह सकते हैं कि वीडियो फेक था, रक्त उनकी जानकारी के बिना उनसे लिया गया था, और हस्ताक्षर जाली था। लेकिन पूर्ण प्रमाण की आवश्यकता नहीं है; सिर्फ साक्ष्य की एक उचित राशि।

डिजिटल दुनिया में, किसी भी डेटा - पाठ, छवि, एक डेटाबेस या ईमेल में डेटा - जाली हो सकता है। हमारे पास सबूत के लिए निकटतम चीज उपयोगकर्ता के लिए एक निजी कुंजी का उपयोग करके कुछ एन्क्रिप्ट करने और यह दिखाने के लिए है कि उनकी सार्वजनिक कुंजी इसे डिक्रिप्ट करेगी। हालांकि, यह वर्तमान में अधिकांश उपयोगकर्ताओं की क्षमता से परे है, और वे अभी भी कह सकते हैं कि उनकी निजी कुंजी चोरी हो गई थी।

सबसे अच्छा हम कर सकते हैं:

  • कुछ ऐसा प्राप्त करें जो नकली होना मुश्किल (हालांकि असंभव नहीं) होगा
  • सहमत हूँ कि, कानूनी तौर पर, कि सबूत पर्याप्त है
  • उपयोगकर्ता के लिए सदस्यता समाप्त करना आसान बनाएं

पाठ के बजाय एक छवि को सहेजना सबूत के संदर्भ में कुछ नहीं जोड़ता है; यह सब कुछ प्रक्रिया को धीमा और अधिक महंगा बना देता है।

इलेक्ट्रॉनिक हस्ताक्षर

मेरी नौकरी में, हमारे पास एक एप्लिकेशन है जहां उपयोगकर्ता एक बयान पर हस्ताक्षर करते हैं। कानूनी रूप से, हम जिन न्यायालयों में काम करते हैं, उन्होंने यह कहते हुए क़ानून पारित किए हैं कि एक उपयोगकर्ता अपने ईमेल पते को एक फ़ॉर्म में लिखकर इलेक्ट्रॉनिक हस्ताक्षर के रूप में गिन सकता है। हमने पहले ही सत्यापित कर दिया है कि उनके पास एक लिंक भेजकर पते तक पहुंच है जिसे उन्हें क्लिक करना होगा। यह पूर्ण प्रमाण नहीं है, लेकिन इसे हमारे उद्देश्यों के लिए पर्याप्त माना गया है।

आप जो भी जानकारी कैप्चर करते हैं, मैं एक टाइमस्टैम्प पर कब्जा करने का सुझाव दूंगा , इसलिए आप कह सकते हैं "आप इस सटीक तारीख और समय पर सहमत हैं"। मुझे यकीन नहीं है कि अगर इसकी कोई कानूनी प्रासंगिकता है, लेकिन यह मेरे लिए अधिक ठोस है, क्योंकि यह उपयोगकर्ता को अन्यथा साबित करने का अधिक अवसर देता है ("मेरे पास सबूत है कि मैं उस समय कंप्यूटर पर नहीं था", उदाहरण के लिए )।

इसके साथ पागल हो रहा है

कुछ चीजें जो आप कर सकते हैं जिन्हें प्रमाण माना जा सकता है:

  • टाइमस्टैम्प, आईपी, ब्राउज़र, आदि पर कब्जा करें, ताकि आप हस्ताक्षर की परिस्थितियों पर जोर दे सकें
  • ईमेल पते के सत्यापन की आवश्यकता है
  • हस्ताक्षर के समय उपयोगकर्ता को अपना पासवर्ड दर्ज करना होगा
  • वहाँ केवल लिखने के लिए एक तृतीय-पक्ष वेब सेवा चल रही है जो उपयोगकर्ता के संकेत पर, आपके ऐप से एक HTTPS POST हस्ताक्षर जानकारी के साथ प्राप्त होगी। यदि तृतीय पक्ष गवाही दे सकता है कि उनकी सेवा केवल लेखन है, कि उन्होंने उस समय रिकॉर्ड प्राप्त किया था, और आपकी प्रति समान है, तो आप तर्क दे सकते हैं कि आपने तब से डेटा को संशोधित नहीं किया है।
  • उस क्षण उपयोगकर्ता को यह कहते हुए ईमेल भेजें कि "साइन अप करने के लिए धन्यवाद, यहां बताया गया है कि सदस्यता समाप्त कैसे करें।" उनका ईमेल प्रदाता या आपका यह दिखाने में सक्षम हो सकता है कि उपयोगकर्ता द्वारा हस्ताक्षर किए जाने के तुरंत बाद ईमेल भेजा गया था।

IANAL

कृपया इसे कानूनी सलाह के रूप में न लें।

रिवील किया
स्रोत
शानदार जवाब ... लेकिन फिर भी इलेक्ट्रॉनिक हस्ताक्षर के रूप में ईमेल पते कानूनी रूप से भी विवादित रहे हैं। आप सही हैं, हालांकि कोई पूर्ण सिद्ध तरीका नहीं है। अधिक कठिन के विभिन्न रंगों। कानूनी प्रणाली उचित संदेह पर काम करती है। ज्यादातर लोग इस बात से सहमत होंगे कि वीडियो बनाने, खून चुराने और हस्ताक्षर बनाने का काम एक उचित संभावना नहीं है। क्या ऐसा हो सकता है? हां, लेकिन यह निश्चित रूप से बहुत अधिक संभावना नहीं है कि कोई भी उस परेशानी में जाएगा।
maple_shaft
1
"... और वे अभी भी कह सकते हैं कि उनकी सार्वजनिक कुंजी चोरी हो गई थी।" नहीं पढ़ा जाना चाहिए कि "... और वे अभी भी कह सकते हैं कि उनकी निजी कुंजी चोरी हो गई थी।" चोरी की गई सार्वजनिक कुंजी किसी भी सुरक्षा मुद्दों को नहीं रोकती है, एक अच्छी तरह से डिज़ाइन किए गए PKI में।
रेयान
capturing a timestampबस बेकार है। आजकल, नियमित रूप से उपयोगकर्ता के लिए कुछ समय के लिए फ़ॉर्म भरने के लिए एक ब्राउज़र या डेस्कटॉप स्वचालन बनाने के लिए यह काफी आसान है।
रेयान
10

एक और विकल्प यह होगा कि आप क्लाइंट से कच्चे HTTP पोस्ट को लॉग इन करें। यह उनका आईपी होगा, जहां से वे आए थे, क्या ब्राउज़र, आदि, एक स्क्रीनशॉट की आवश्यकता के बिना। फिर आप इसे कच्चे रूप में केवल एक सम्मिलित तालिका, या एक साधारण फ्लैट लॉग फ़ाइल में लॉग इन कर सकते हैं ...

बस कुछ अन्य विकल्पों पर विचार करने की कोशिश कर रहा हूं क्योंकि मैं इस तरह से हास्यास्पद अनुरोधों में भाग लेता हूं, जितना मैं चाहूंगा ...

bunglestink
स्रोत
हम्म हाँ, लेकिन वह लॉग एक ही डेटाबेस में है कि वे छेड़छाड़ होने के बारे में चिंतित हैं। मेरे उत्तर में संपादित देखें, इलेक्ट्रॉनिक रूप से हस्ताक्षरित पीडीएफ दस्तावेज़ एकमात्र तरीका है जिससे दस्तावेज़ में छेड़छाड़ नहीं की गई है।
maple_shaft
1
@maple_shaft: अतिरिक्त डेटाबेस सुरक्षा को जोड़ने का मूल विचार एक व्यवस्थापक को छोड़कर सभी उपयोगकर्ताओं के लिए "केवल सम्मिलित करें" अनुमतियां होगी। यह लॉग नियमित डेटाबेस गतिविधियों के अलावा होगा, और केवल जरूरत पड़ने पर सत्यापन के लिए उपयोग किया जाएगा।
bunglestink
1
@JonnyBoats: आप HTTPS के बारे में तकनीकी रूप से सही हैं, हालांकि एक बार आवेदन स्तर पर प्राप्त होने के बाद, आपके पास एक ही कच्चा पाठ होगा।
बंगलेस्टिंक
1
"इलेक्ट्रॉनिक रूप से हस्ताक्षरित PDF दस्तावेज़" या इलेक्ट्रॉनिक रूप से हस्ताक्षरित कुछ भी "दस्तावेज़ को यह सुनिश्चित करने का एकमात्र तरीका है कि" के साथ छेड़छाड़ नहीं की गई है "सिवाय किसी के पास जिसके पास हस्ताक्षर किए जाने की कुंजी है।
रैंडम 832
1
@ Random832: यदि उपयोगकर्ता के लिए दस्तावेज़ की निजी कुंजी प्रदान की जाती है, तो यह उल्लेखनीय है, IMO जो प्रचार सामग्रियों को प्राप्त करने के लिए एक चेकबॉक्स का संकेत देने वाले समझौते के लिए ओवरकिल है।
रेयान
8

एक स्क्रीनशॉट आसानी से गढ़ा जाता है, क्या आपको इतना झुकाव होना चाहिए। जैसा कि क्रिप्टोग्राफिक आधार के बिना किसी भी प्रकार की हैशिंग, टाइमस्टैम्पिंग आदि है। एक अनुमान है कि कॉलेज के लिए कुछ कठोर विनियामक आवश्यकता है जो यह साबित करने में सक्षम हो कि उन्होंने लोगों को विपणन सामग्री भेजने या तीसरे पक्ष को अपनी जानकारी का व्यापार करने से पहले सकारात्मक सहमति प्राप्त की।

ऐसा करने का एकमात्र विश्वसनीय तरीका उपयोगकर्ता से क्रिप्टोग्राफिक हस्ताक्षर की मांग करना है। एक उदाहरण के लिए, http://launchpad.net वेबसाइट आपको जिस तरह से क्रिप्टोग्राप्रोपिक से उबंटू आचार संहिता पर हस्ताक्षर करने के लिए कहती है , उसे देखें ।

इसके पास केवल न्यायालयों में कानून का बल है जहां एक कानूनी दस्तावेज पर एक क्रिप्टोग्राफिक हस्ताक्षर का उपयोग किया जा सकता है, लेकिन एक विशिष्ट पाठ पर हस्ताक्षर करके उपयोगकर्ता अपने आश्वासन का प्रमाण प्रदान कर सकता है जो बाद में सत्यापन योग्य है। कॉलेज के लिए उसी सार्वजनिक कुंजी से सही हस्ताक्षर बनाना लगभग असंभव होगा।

ध्यान दें कि यह अभी भी कॉलेज के लिए अपने डेटाबेस को अपडेट करने के लिए तुच्छ है, और इस तरह सहमति क्षेत्र को फ्लिप करता है, और सार्वजनिक कुंजी को दूसरे के साथ बदलने के लिए जिसके लिए वे निजी कुंजी जानते हैं, और उस कुंजी के लिए एक वैध हस्ताक्षर उत्पन्न करते हैं ।

इसलिए बिना किसी तीसरे पक्ष के हस्ताक्षर करने के लिए यह सुनिश्चित करने के लिए कि वे किसी विशेष व्यक्ति से संबंधित हैं, यह सब हासिल होता है कि उपयोगकर्ता यह सत्यापित कर सकता है कि कॉलेज ने उनकी गोपनीयता सेटिंग्स को जाली किया है या नहीं - तीसरे पक्ष के हस्ताक्षर के बिना, यह कॉलेज के खिलाफ उनका शब्द है।

यदि आपको आगे की आवश्यकता है कि सभी प्रमुख स्वामित्व सत्यापित हैं और एक या एक से अधिक विश्वसनीय तृतीय पक्षों द्वारा हस्ताक्षरित कुंजी है, तो कॉलेज एक महान सौदा अधिक जोखिम के बिना स्पष्ट रूप से वैध हस्ताक्षर करने में असमर्थ होगा (उन्हें धोखा देना होगा या सह-विकल्प करना होगा अपने फर्जी कुंजी पर हस्ताक्षर करने के लिए तीसरे पक्ष पर भरोसा किया)। इस हमले की कठिनाई आवश्यक तीसरे पक्ष के हस्ताक्षर की संख्या के साथ बढ़ेगी, लेकिन एक और पोस्टर नोट के रूप में, असंभव नहीं है।

इसलिए संक्षेप में:

  • उपयोगकर्ता के पास एक निजी / सार्वजनिक कुंजी जोड़ी होनी चाहिए या उत्पन्न होनी चाहिए
  • उपयोगकर्ता को तब एक या अधिक विश्वसनीय तृतीय पक्षों से अपनी सार्वजनिक कुंजी के लिए एक हस्ताक्षर प्राप्त करना होगा
  • उपयोगकर्ता को अपनी सार्वजनिक कुंजी अपलोड करनी चाहिए, कम से कम कॉलेज में और अधिमानतः एक तृतीय पक्ष कुंजी भंडार के लिए
  • उपयोगकर्ता को एक ज्ञात प्लेनटेक्स्ट पर हस्ताक्षर करना चाहिए और हस्ताक्षर को प्रमाण के रूप में प्रदान करना चाहिए, जिसे उन्होंने अपने निजी डेटा को साझा करने के लिए स्वीकार किया है

व्यावहारिक समस्याएं:

  • कुछ लोग क्रिप्टोग्राफ़िक हस्ताक्षर को समझते हैं
  • थर्ड-पार्टी प्रमाणन की लागत महंगी हो सकती है
  • ऐसा लगता है कि कॉलेज प्रॉस्पेक्टस डाउनलोड पेज में एक जंकमेल चेकबॉक्स को सुरक्षित रखने के लिए बहुत सारा काम है
एड्रियन
स्रोत
8

मैं ग्राहक के देश / राज्य के लिए इलेक्ट्रॉनिक हस्ताक्षरों को पढ़कर शुरू करूँगा ताकि यह पता लगाया जा सके कि कानूनी तौर पर क्या बाध्यकारी हैं। मैं सकारात्मक हूं कि किसी भी देश या राज्य के पास उनके सही दिमाग में एक बाध्यकारी इलेक्ट्रॉनिक हस्ताक्षर के लिए प्रमाण की एकमात्र विधि के रूप में स्क्रीनशॉट की आवश्यकता नहीं होगी।

उदाहरण के लिए, यूएस में 47 राज्यों ने यूनिफ़ॉर्म इलेक्ट्रॉनिक ट्रांज़ैक्शन एक्ट को स्वीकार किया है , जो अन्य बातों के अलावा "सरकारी मामलों" पर लागू होता है और इस तरह कॉलेज की आवश्यकताओं पर लागू होता है। इसके निम्नलिखित भाग हैं जो मदद कर सकते हैं:

..

  • इलेक्ट्रॉनिक हस्ताक्षर - का अर्थ है एक इलेक्ट्रॉनिक ध्वनि, प्रतीक या प्रक्रिया जो रिकॉर्ड से जुड़ी या तार्किक रूप से जुड़ी हुई हो और रिकॉर्ड पर हस्ताक्षर करने के इरादे से किसी व्यक्ति द्वारा निष्पादित या अपनाई गई हो।

..

  • धारा 7 इलेक्ट्रॉनिक हस्ताक्षर, रिकॉर्ड और अनुबंध को कानूनी मान्यता देता है
    • (ए) एक रिकॉर्ड या हस्ताक्षर को कानूनी प्रभाव या पूरी तरह से लागू करने से इनकार नहीं किया जा सकता है क्योंकि यह इलेक्ट्रॉनिक रूप में है।
    • (बी) एक अनुबंध को कानूनी प्रभाव या पूरी तरह से लागू करने से इनकार नहीं किया जा सकता है क्योंकि इसके गठन में एक इलेक्ट्रॉनिक रिकॉर्ड का उपयोग किया गया था।
    • (ग) यदि किसी कानून को लिखित में रिकॉर्ड की आवश्यकता होती है, तो एक इलेक्ट्रॉनिक रिकॉर्ड कानून को संतुष्ट करता है।
    • (d) यदि किसी कानून को हस्ताक्षर की आवश्यकता होती है, तो इलेक्ट्रॉनिक हस्ताक्षर कानून को संतुष्ट करता है।

..

एक बार जब मैं कानूनों को जानता था, तो मैं सर्वश्रेष्ठ इलेक्ट्रॉनिक हस्ताक्षर विधि की लागत का अनुमान लगाता था। स्क्रीनशॉट विधि की लागत।

अंत में, मैं उनके साथ अपने निष्कर्षों पर चर्चा करूंगा। पहले, मैं उन्हें सबसे अच्छा विकल्प बनाम प्रस्तावित विकल्प समझाता हूं। अगला, मैं उन्हें समझाता हूँ कि इस परियोजना में कितना समय लगेगा। अंतिम, अगर मैं ऐसा करने की जगह पर था, तो मैं उन्हें बताऊंगा कि यह "फीचर" अंतिम बिल में एक्स डॉलर जोड़ देगा। मैं उनके लिए अतिरिक्त लागत के औचित्य के रूप में मेरे लिए अतिरिक्त लागत का उपयोग करना सुनिश्चित करूंगा।

यदि वे अभी भी हिलते नहीं हैं, तो मैं देखूंगा कि उनके पास कुछ विवेक के साथ पर्यवेक्षक हैं जिनके साथ मैं एक ही बैठक कर सकता हूं।

* मैं एक वकील नहीं हूं, इसलिए यदि आप किसी भी चीज के बारे में अनिश्चित हैं तो कृपया कानूनी सलाह लें।

Briguy37
स्रोत
6

यह एक कानूनी सवाल है, एक वास्तविक जवाब निश्चित रूप से राष्ट्रीय और संभवतः स्थानीय कानूनों और सटीक परिस्थितियों पर निर्भर करेगा। तो जाहिर है एक असली जवाब केवल एक वकील से ही आ सकता है।

हालाँकि, जहाँ तक मेरी (सीमित) कानूनी जानकारी है, मुझे लगता है कि स्क्रीनशॉट को ग्रहण करने का कोई कारण नहीं है, इसे किसी भी चीज़ के लिए सबूत माना जाएगा, क्योंकि यह स्पष्ट रूप से नकली के लिए बहुत आसान है।

कार्रवाई का आपका सबसे अच्छा तरीका संभवतः अपने ग्राहक को यह समझाना है कि यह अनिवार्य रूप से एक कानूनी समस्या है, और इसके लिए एक वकील की मदद की आवश्यकता है। फिर उनके साथ चर्चा करें कि क्या वे चाहते हैं कि आप एक वकील के साथ इस पर चर्चा करें, या क्या वे इसे स्वयं करना चाहते हैं।

संभव समाधान प्राप्त करने के लिए, आप स्वयं चर्चा कर सकते हैं (यदि ग्राहक सहमत है)। यदि आप उस परेशानी को नहीं चाहते हैं (या डर है कि वे आपको इसके लिए भुगतान करने के लिए तैयार नहीं हो सकते हैं), तो उन्हें ऐसा करने दें।

sleske
स्रोत
6
क्या ओपी को इस मार्ग पर जाना चाहिए, मैं एक मध्यम जमीन के दृष्टिकोण का सुझाव दूंगा, ग्राहक को समझाऊंगा कि वे एक वकील से चर्चा करें लेकिन यह कि ओपी उन चर्चाओं में शामिल होना चाहेगा। इस तरह से खर्च सीधे ग्राहक पर होता है और इस बात का जोखिम कम होता है कि ग्राहक ओपी पर उस जानकारी को पास करते समय वकील को कुछ कहता है।
केविन डी
5

यदि आप यह प्रमाणित करना चाहते हैं कि एक दस्तावेज अनलेडेड है (डेटाबेस रिकॉर्ड, जो भी हो), "सर्वश्रेष्ठ अभ्यास" इस प्रकार है:

  • डेटा को एक प्रतिलिपि प्रस्तुत करने योग्य तरीके से, किसी भी फ़ील्ड सहित, जो विवादास्पद हो सकता है (जैसे ईमेल पता, चाहे कोई बॉक्स चेक किया गया हो) सत्यापित करें।
  • उस रिकॉर्ड का हैश लें (जैसे sha1)
  • इस हैश को एनक्रिप्ट करने के लिए किसी विश्वसनीय थर्ड पार्टी (यानी एक असंतुष्ट तीसरे पक्ष) के लिए सार्वजनिक कुंजी का उपयोग करें
  • डेटा को सार्वजनिक रूप से उस तिथि को स्थापित करने के लिए पोस्ट करें जिस पर वह अस्तित्व में था, जैसे एक समाचार समूह।
  • मान्य करने के लिए, तीसरा पक्ष हैश को डिक्रिप्ट कर सकता है और इसकी तुलना अब के मौजूदा हैश मान से कर सकता है।

इसका उपयोग यह सुनिश्चित करने के लिए किया जाता है कि बीमा रिकॉर्ड के साथ छेड़छाड़ नहीं की गई थी; हालाँकि, "विश्वसनीय थर्ड पार्टी" हमने एक निश्चित राशि का भुगतान किया, हैश को प्रख्यापित किया क्योंकि वे स्वयं और कई अन्य ग्राहकों के लिए वापस हस्ताक्षरित थे, इसलिए रिकॉर्ड के कई कस्टोडियन मौजूद थे जो संभावित रूप से सबपोना हो सकते हैं: प्रमाण प्राप्त करने के लिए एड।

यह स्पष्ट रूप से कुछ के लिए एक हास्यास्पद बोझ है जैसे कि बूलियन फ़ील्ड को मान्य करना। लेकिन, यदि आप ग्राहक को इसमें शामिल खर्च दिखाते हैं, तो वे संभवत: गूंगा हो जाएगा।

BRPocock
स्रोत
4

जबकि अनुरोध स्वयं बेतुका है, और आपके पास एक यथोचित कानूनी प्रमाण नहीं हो सकता है कि एक व्यक्ति ए ने फॉर्म भरते समय चेकबॉक्स की जांच की, आपके प्रश्न के अंदर एक प्रश्न है जिसका वास्तव में उत्तर दिया जा सकता है:

[यह सुनिश्चित करने के लिए कि बाद में डेटा में बदलाव नहीं किया गया, जबकि] उपयोगकर्ताओं को फॉर्म भेजने के बाद एक DB को बदला जा सकता है?

यह, वास्तव में, तकनीकी रूप से करना आसान हो सकता है।

1. इस बात का प्रमाण रखें कि डेटा में बदलाव नहीं किया गया था

वास्तव में उपयोगकर्ता द्वारा भेजे गए मूल्यों के साथ अपने आप को (एक समर्पित मेलबॉक्स को) ई-मेल भेजना आसान है (ठीक है, यह आपके सर्वर के विन्यास के आधार पर हो सकता है, थ्रेशोल्ड, स्पैम के रूप में फ़िल्टर किए जाने की संभावनाएं, प्रति सेकंड भेजे गए ई-मेल की संख्या, आदि), और यह दर्शाने के लिए पर्याप्त है कि डेटा सबमिट किए जाने के बाद उसमें बदलाव नहीं किया गया था । उदाहरण के लिए, जब तक कि मेरे पास Google सर्वरों के लिए अप्रतिबंधित एक्सेस नहीं है , मुझे पूरा यकीन है कि हर एक को यह विश्वास होगा कि मैं अपने स्वयं के GMail पते पर भेजे गए ई-मेल की सामग्री को बदलने में असमर्थ हूं।

2. एक प्रमाण रखें कि डेटा सही है

संभावना है, ग्राहक संतुष्ट नहीं होंगे, क्योंकि भले ही आपके पास सबूत हो कि डेटा बाद में बदला नहीं गया था, हम यह कैसे सुनिश्चित कर सकते हैं कि फॉर्म जमा करने और ई-मेल द्वारा सूचना भेजने के बीच डेटा को संशोधित नहीं किया गया था। (और डेटाबेस के लिए प्रतिबद्ध)? इस मामले में, अगला कदम यह है:

  1. चेकबॉक्स निकालें,
  2. अपने ग्राहक कंपनी से अनचाहा प्रचार सामग्री प्राप्त करने के लिए फॉर्म भरने वाले किसी भी व्यक्ति को चिह्नित करें,
  3. उन आगंतुकों को संकेत दें कि उन्हें स्पैम वाणिज्यिक ऑफ़र प्राप्त करने के लिए समर्पित मेलबॉक्स में एक ई-मेल (एक पूर्वनिर्धारित शीर्षक और एक खाली निकाय के साथ) भेजना है ।

उनके ई-मेल को फिर स्वचालित रूप से संसाधित किया जा सकता है, और एक प्रमाण के रूप में रखा जा सकता है।

3. एक प्रमाण रखें कि डेटा प्रामाणिक है

अब जब आपके पास एक सबूत है कि दिए गए ई-मेल पते का उपयोग करने वाला व्यक्ति वास्तव में स्पैम प्राप्त करना चाहता है, तो ग्राहक अभी भी असंतुष्ट हो सकता है (जो आमतौर पर ऐसे पागल अनुरोध वाले ग्राहकों के साथ होता है)। क्या होगा अगर किसी ने आपके स्पैम को प्राप्त करने के लिए हैकी को पंजीकृत करने के लिए किसी और के मेलबॉक्स को हैक किया है?

पागलपन के इस स्तर पर, आप अभी भी तकनीकी रूप से आवश्यकताओं का जवाब दे सकते हैं। अब, ऑप्ट-इन ई-मेल भेजने के बजाय, वेबसाइट के उपयोगकर्ता को यह करना होगा:

  1. आईडी / पासपोर्ट की एक प्रति के साथ एक मेल भेजें, और एक पत्र, एक हस्ताक्षर के साथ, यह कहते हुए कि यह व्यक्ति वास्तव में स्पैम प्राप्त करना चाहता है।

  2. एक गुप्त कोड के माध्यम से ई-मेल पते को सत्यापित करें जिसे वापस भेजा जाएगा।

लेकिन ऐसा करने से पहले, ग्राहक को यह समझाने के लिए कि मैंने जो भाग 2 में वर्णित किया है, उसे लागू करने के लिए उसे परखें। ग्राहक यह देखेगा कि एक या दो महीने के बाद, कोई भी कभी भी ई-मेल में कोई ऑप्ट-इन नहीं भेजता है, और खुशी-खुशी डेटाबेस में कानूनी सबूतों और परिवर्तित डेटा के बारे में भूल जाएगा।

आर्सेनी मूरज़ेंको
स्रोत
आपका चरण 2 कुछ भी साबित नहीं करता है। लोगों को स्पैम प्राप्त करने के लिए अनिच्छुक के रूप में चिह्नित करने के लिए, आप उस "मार्क" को संग्रहीत कर रहे हैं, जिसमें बहुत ही डेटाबेस में ग्राहक छेड़छाड़ करने से चिंतित है। हालाँकि, डेटा के सेट का एक हैश रखना यह सुनिश्चित करता है कि यदि कोई भी डेटा या हैश को टैंपर करता है, तो डेटा को हैश के साथ तुलना करने के परिणामस्वरूप हैश और प्रूफ के विरुद्ध विफल हो जाएगा और डेटा के साथ छेड़छाड़ या छेड़छाड़ करेगा।
maple_shaft
@maple_shaft, सामान्य रूप से भाग 2 में जो आवश्यक है वह डेटाबेस में संग्रहीत नहीं है, लेकिन केवल वेबसाइट के उपयोगकर्ता से ऑप्ट-इन ई-मेल का रिसेप्शन है। डेटाबेस में डेटा कोई फर्क नहीं पड़ता।
Arseni Mourzenko
2
चरण 1 अच्छा है। आसान, सरल, प्रभावी।
ऑफिशो
@ मेनमा: और आपको लगता है कि ई-मेल को फेक या स्पूफ नहीं किया जा सकता है?
बेन वोइगेट
3

आप जो कुछ भी करते हैं उसकी कानूनी स्थिति समाधान की तकनीकी योग्यता से स्वतंत्र है।

उदाहरण के लिए :

सालों तक संसद के ब्रिटिश सदस्य ई-याचिकाओं को नजरअंदाज करते रहे क्योंकि कानून की मांग थी कि याचिकाएं प्रत्येक व्यक्ति के लिए एक हस्ताक्षर हैं। फिर किसी ने नोटिस किया कि एक ईमेल पते, दिनांक, समय और टिप्पणी का हैश - भले ही इसमें कोई गुप्त कुंजी न हो - ब्रिटेन के कानून की नजर में एक "डिजिटल हस्ताक्षर" का गठन।

इसलिए, आपको यह बताने के लिए एक वकील प्राप्त करें कि क्या करना है, और क्या करना है। चिंता मत करो कि क्या यह ध्वनि है।

या, अपने ग्राहक से क्या पूछें, यह विश्वास करते हुए कि उन्होंने एक वकील के साथ जाँच की है। सुनिश्चित करें कि चर्चा का एक रिकॉर्ड है।

पतला
स्रोत
Therefore, get a lawyer to tell you what to do, and do it. Don't worry whether it's sound. Or, do what your client asks, trusting that they have checked with a lawyer. Make sure there's a record of the discussion.यह केवल ग्राहक के लिए आपके कानूनी और राजनीतिक दायित्व को पूरा करेगा; मुझे लगता है कि ओपी (अधिकार) ग्राहक को उनकी कानूनी आवश्यकताओं को पूरा करने में मदद करने में अधिक रुचि रखता है (हालांकि ग्राहक वर्तमान में अपनी कानूनी आवश्यकताओं को गलत समझता है, इस प्रकार गलत समाधान का सुझाव देता है)।
रेयान
3

कैसे स्क्रीनशॉट पाने के लिए आप कर रहे हैं? आपको जो मिला है वह HTML है और जो भी आप क्लाइंट को भेज रहे हैं, और क्लाइंट से इलेक्ट्रॉनिक प्रतिक्रिया। न तो स्क्रीनशॉट शामिल है।

स्क्रीनशॉट वह है जो ब्राउज़र प्रदान करता है, और दूसरे छोर पर उपयोग और सेटिंग्स और उपकरणों में ब्राउज़र के आधार पर कुछ अलग होगा। व्यक्तिगत रूप से, मैं फ़ायरफ़ॉक्स, क्रोम, ओपेरा, मोबाइल सफारी, कभी-कभी लिंक्स और यहां तक ​​कि कभी-कभी थोड़ा IE का उपयोग करके ब्राउज़ करता हूं।

आप पृष्ठ को अपने अंत में एक मानक ब्राउज़र में प्रस्तुत कर सकते हैं, और स्क्रीनशॉट कि, लेकिन अपने स्वयं के दस्तावेज़ बनाने और रिकॉर्डिंग यह एक न्यायाधीश को प्रभावित करने के लिए नहीं जा रहा है। आप उपयोगकर्ता को स्क्रीनशॉट भेजने के लिए कह सकते हैं, लेकिन सौभाग्य यह है कि सभी ब्राउज़िंग डिवाइसों में स्क्रीनशॉट लेने और भेजने का एक स्पष्ट तरीका नहीं है (आप इसे iPhone पर कैसे करते हैं?)। यदि आप स्क्रीन रीडर का उपयोग करते हुए एक दृष्टिबाधित ग्राहक के साथ काम कर रहे हैं, तो ग्राहक के अंत में कोई दृश्य प्रतिनिधित्व नहीं हो सकता है। (मैंने देखा कि मेरे कुछ अंधे दोस्तों ने एक पोर्टेबल कंप्यूटर का उपयोग किया, जिसका कोई प्रदर्शन नहीं था।)

इसलिए ग्राहक को समझाएं कि स्क्रीनशॉट लेने का कोई तरीका नहीं है, और तस्वीर लेने के लिए स्क्रीन भी नहीं हो सकती है।

डेविड थॉर्नले
स्रोत
1
iPhone: कुछ सेकंड के लिए LOCK बटन दबाए रखें। Android: फोन को रूट करें और प्रार्थना करें। (मुझे वह बिंदु मिलता है जो आप बना रहे थे, बस कह रहे हैं ...)
बीआरपोकॉक
3

डेटाबेस के लिए एक विश्वसनीय टाइमस्टैम्प प्लस एक डिजिटल हस्ताक्षर के साथ संयोजन में एक अनिवार्य प्रवेश नियंत्रण बनाना वास्तव में संभव है ताकि यह सुनिश्चित किया जा सके कि स्तंभ के मूल्य पर भरोसा किया जा सके। स्क्रीनशॉट सही उत्तर नहीं हैं, फिर भी विश्वसनीय कम्प्यूटिंग समाधान हैं जो वास्तव में आप क्या हासिल करना चाहते हैं। यदि आप अधिक विवरण चाहते हैं तो आप मेरे साथ चैट शुरू कर सकते हैं।

अहमद मसूद
स्रोत
2

जैसा कि पहले ही बताया गया है कि आप वास्तव में यह साबित नहीं कर सकते कि व्यक्ति सहमत था या नहीं तो निश्चित रूप से सबसे अच्छा समाधान है:

क) अपने ईमेल पते पर भेजे गए लिंक के माध्यम से अपने समझौते की पुष्टि करने के लिए व्यक्ति को प्राप्त करें (यह सुनिश्चित करता है कि उन्होंने सिर्फ बिलगेट @microsoft.com दर्ज नहीं किया है)

ख) उन्हें विपणन / पदोन्नति से सदस्यता लेने का विकल्प दें

मैट विल्को
स्रोत
2

एक स्कीमा जो छेड़छाड़-प्रूफ होने के सबसे करीब है, वह एक सार्वजनिक / निजी कुंजी जोड़ी उत्पन्न करने के लिए होगी जब उपयोगकर्ता भरे हुए फॉर्म (क्लाइंट-साइड) जावास्क्रिप्ट का उपयोग करता है, तो फॉर्म सामग्री, सार्वजनिक कुंजी और हस्ताक्षर को भेजें सर्वर, और उपयोगकर्ता के लिए निजी कुंजी पेश करता है और उन्हें नोट लेने और इसे कहीं सुरक्षित स्टोर करने के लिए कहता है।

इस स्कीमा के साथ, आप यह साबित करने में सक्षम होंगे कि फॉर्म डेटा में छेड़छाड़ करना असंभव है क्योंकि आप निजी कुंजी को नहीं जानते हैं जो हस्ताक्षर बनाने के लिए उपयोग की जाती हैं। इस स्कीमा की कमजोरी यह है कि आपको यह साबित करने में सक्षम होना चाहिए कि आपने कभी भी निजी कुंजी को नहीं छुआ है, और उपयोगकर्ता को अपनी निजी कुंजी नहीं खोनी चाहिए।

चूंकि आपको यह साबित करने में सक्षम होना चाहिए कि आपके पास निजी कुंजी तक कभी पहुंच नहीं थी, इसलिए फॉर्म हस्ताक्षर को बनाते समय HTML और सभी जावास्क्रिप्ट को शामिल करना आवश्यक हो सकता है; यह सटीक रूप साबित करता है कि उपयोगकर्ता डेटा जमा करने के लिए उपयोग करता है (इसलिए यह साबित करता है कि आपने उनके जमा होने के बाद से फॉर्म / जावास्क्रिप्ट को संशोधित नहीं किया था, इसलिए यह साबित करना कि आपने उनकी निजी कुंजी चोरी करने के लिए जावास्क्रिप्ट का उपयोग नहीं किया है)।

यह स्कीमा जटिल है, और किसी भी जटिल प्रणाली के साथ के रूप में, मैं गारंटी नहीं दे सकता कि कोई छेद नहीं है (वास्तव में, मुझे पूरा विश्वास है कि वहाँ है, और कोई शायद इसे इंगित करने में सक्षम होगा)।

दर्शाता है
स्रोत
2

एक स्क्रीनशॉट बहुत सबूत नहीं होगा, क्योंकि यह सत्यापित करने का कोई तरीका नहीं है कि स्क्रीनशॉट वास्तविक है। इतनी आसानी से नकली हो सकता है। जहाँ तक अधिक तकनीकी समाधान चलते हैं, वहाँ संग्रह भंडारण इंजन हैMySQL के लिए जो केवल सम्मिलित करता है और चयन का समर्थन करता है। आप तालिका से बिल्कुल भी नहीं हटा सकते हैं। आप पर ध्यान दें, हो सकता है कि किसी भिन्न स्टोरेज इंजन के लिए टेरर को एलीट करें, रिकॉर्ड को डिलीट करें, और फिर एटर टेबल को बिना किसी सूचना के इंजन को बदलने के लिए सक्षम करें, लेकिन उम्मीद है कि आप इसे रूट कर सकते हैं, और केवल रूट को स्थानीय रूप से लॉग इन करने की अनुमति दे सकते हैं। । तब आप केवल वास्तविक स्थानीय डेटाबेस मशीन से लॉगिन को ट्रैक कर सकते हैं ताकि यह पता लगाया जा सके कि संभवतः इसे किसने बदला है। आप द्विआधारी लॉग का विश्लेषण भी कर सकते हैं, या कच्ची क्वेरी लॉग को यह देखने के लिए सक्षम कर सकते हैं कि कौन इस तरह की गतिविधि के परिणामस्वरूप प्रश्न जारी कर सकता है। मुझे यकीन नहीं है कि आप कौन सी डेटाबेस तकनीक का उपयोग कर रहे हैं, लेकिन सबसे अधिक संभावना है कि आपको एक समाधान के साथ आने में सक्षम होना चाहिए जो डेटा को आसानी से बदलने से रोकता है।

किबी
स्रोत
2

मैं आपको सलाह देने के लिए जा रहा हूं कि आप ESIGN एक्ट को पढ़ें । यह क़ानून कवर करता है और कानूनी रूप से बाध्यकारी होने के लिए इलेक्ट्रॉनिक हस्ताक्षर रिकॉर्ड करना आवश्यक नहीं है। पिछले नियोक्ता में, हमने पाया कि सबसे कठिन वैधानिक बाधा भविष्य में 10-15 वर्षों के लिए हस्ताक्षरों और दस्तावेज़ों को पढ़ने योग्य बनाने में सक्षम होना था।

प्रत्येक भरे हुए फॉर्म का विवरण एक विश्वसनीय विधि में सहेजा जाना है। डेटाबेस में प्रपत्र मानों को सहेजना - यदि उपयोगकर्ता सहमत या सहमत नहीं है तो एक कॉलम - पर्याप्त नहीं है, क्योंकि उपयोगकर्ताओं द्वारा प्रपत्र भेजे जाने के बाद DB को बदला जा सकता है। हमारे ग्राहक का दावा है कि अन्य कॉलेज पोर्टल भरे हुए फॉर्म का स्क्रीनशॉट बनाते हैं, और इसे एक समर्पित फ़ोल्डर में कहीं पर सहेजते हैं, इस तरह से आसानी से मिल जाता है, जैसे कि फ़ाइल को एक नाम देना जिसमें उपयोगकर्ता का नाम और तारीख शामिल हो। और समय।

जैसा कि दूसरों ने बताया है, स्क्रीनशॉट कुछ ऐसा है जो नहीं किया जा सकता है। इसे फेक किया जा सकता है, क्योंकि सभी "मैजिक" शो शुद्ध फेकरी हैं: आप देखते हैं कि किसी को आधे में देखा जाता है, लेकिन वे वास्तव में आधे में नहीं देखा जाता है।

Tangurena
स्रोत
1

मैंने पहले अपने पागलों की हिस्सेदारी से निपटा है। मैं कुछ तकनीकी समाधानों के बारे में सोच सकता हूं लेकिन ग्राहक के पास वापस क्यों नहीं जा सकता और 'क्या आप ईमेल प्राप्त नहीं करना चाहते हैं?' (या इसी तरह का शब्द) और व्यक्ति को बाहर निकलने की अनुमति देता है? फिर आपको स्क्रीन शॉट की आवश्यकता नहीं है।

JQA
स्रोत
1

जैसा कि सभी ने नोट किया, फीचर अनुरोध की तकनीकी और कानूनी योग्यता कोई भी नहीं है। यदि उपयोगकर्ता किसी प्रपत्र को अनुलग्नक के रूप में स्क्रीनशॉट लेने और अपलोड करने की अनुमति देता है, तो यह विकल्प है।

मोशे
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.