Предложение по проверке удостоверений⁠⁠

Да все эти штуки давно уже придуманы, это не первый случай, когда нужно спрятать инфу от слива брутфорсом.

Важно другое - пидористы в наше время стараются чтить уголовный кодекс, поэтому ходят в гости только с подлинными удостоверениями, у которых от госслужб - только страшный внешний вид. Это позволяет им выходить из воды сухими, поскольку махать коркой ГОСМОСРОСШарага - легально, а вот махать липовой коркой, выдавая себя за другого - уголовочка.

Поэтому приходит ГОРМЕНТФЕДЕРАЛЛохстрой к вам в гости - дай-ка, сука, код отсканить. Нету кода? Пошёл нахуй. Код ведёт не на gov.ru? Пошёл нахуй. Код ведёт на gov.ru и указывает на иное лицо? Уголовка в плечи и пошёл нахуй.

Так что не надо пытаться расстрелять всех зайцев сразу. Идея вполне решает проблемы насущные. А если кто-то захочет себе сделать серьёзное поддельное удостоверение - он его сделает (у нас даже судьи с такими дипломами работают), здесь любые костыли бессмысленны.

- Создаем сайт qov.ru с разделом проверки удостоверений.

- Копируем дизайн с gov.ru

Поддельные удостоверения «проверяются» нормально.

- При необходимости перемещения в другие разделы, делаем редирект на официальный сайт gov.ru

- Жертва успокаивается, мошенник довольно потирает руки.

Есть у меня для этого решение. Я как-то сделал вот такой генератор qr кодов https://qrcode.website суть в том, что код не обязательно содержит статичную ссылку.  Ее можно менять хоть раз в час.

Для одного пользователя делали систему идентификации на сайте прокладке. Человек считывает код, его кидает на страницу с номером телефона, он звонит по нему и как только звонок прошёл, страница переадресовывается на необходимую. Был пул из 12 телефонов, каждый по запросу ожидал звонка не более 30 сек, потом надо было делать запрос заново. С 1 номера можно было проверить 1 раз

Не нужно тратить денег на смс. Имеешь номер телефона проверяющего человека. Обходится сложнее капчи обычной.

Но вообще для этого есть приложение гос услуг. Сканируешь им код, результат прилетает в кабинет гос услуг. Ограничиваешь 2-3 проверками в день.  А запрос делаешь из 100 символов. Еще сложнее - после сканирования полицейскому приходит код, вы его вводите у себя и получаете инфу.

капча - хрень, любая, даже та гугловская, которую не то что роботы, даже люди с трудом проходят, т.к. есть порталы, где индусы решают её за копейки.

Сделает его немного более дорогим. Никаких сложностей.

Придётся делать аудиоверсию капчи, которую легко обойдет Buster или его аналог.

а еще лучше чипировать и все сканеры отобрать!

64 символа спокойно помещаются, а этого более, чем достаточно(как минимум 4011991914547630480065053387702443812690402487741812225955731622655455723258857248542161222254985216 комбинаций)

NFC-метки. Barcode и qr как бы для иных задач.

Тогда нахрен эти qr,  пущай данные госслужащего на отпечаток пальца завязываются

Уверен, что можно будет? Смотри, в ссылке выше 20 символов. Допустим в ней только латинские сиволы и цифры, два регистра. То есть 62^20 = 7.0442343*10^35 вариантов ссылок. Округлим до 10^35

Будем с широкой руки считать, что каждый 10 человек в России принадлежит к какому-нибудь ведомству. Это 14.5*10^6 человек. Округлим до 10^7. Допустим что у злоумышленников есть огромный ботнет на 1 миллион машин. Каждая из них переберает ссылки. Но ссылки наверняка будут защищены капчей, скажем на ввод одной капчи нужна секунда. Перебирают они их допустим год. 3.154*10^7 секунд. Итого 3.154*10^13 попыток. Округлим до 10^14. Посчитаем вероятность не найти ни одно из значений за такое число.

Тут немного сложно, так как для этого нужно вычислить ((10^35-10^7)/10^35) - это вероятность не получить ни один из номеров за попытку.

Сложность в том, что данное число столь мало отличается от единицы, что большая часть калькуляторов в ответ дадут единицу либо максимально допустимое методом хранения информации число девяток. Первый вариант не подходит так как по сути он говорит, что вероятность не попасть ни в одно из значений 100%, а второй завышает вероятность попасть в существующий вариант, но это завышение можно компенсировать, если тип данных поддерживает вычисление большого числа знаков после запятой. Я использовал этот калькулятор: https://keisan.casio.com/calculator
Он поддерживает до 102 знаков после запятой.
Чтобы посчитать вероятность не найти ни одно из значений за всё время поисков нужно просто возвести вероятность за попытку в степень числа попыток. То есть ((10^35-10^7)/10^35)^(10^14)

И итоговая вероятность... Барабанные палочки... 99.9999999999990000000000000049999999999999333333333333338749999999999940833333333333876388888888883262%. Напомню, это вероятность того, что все эти попытки ни дадут НИ ЕДИНОГО правильного результата за ГОД попыток с МИЛЛИОНОМ компьютеров ведущих попытки.

Не собрать. Если даже взять как айди обычный sha256, то вероятность угадать хоть какой-то будет сильно меньше чем число атомов во вселенной.

Да и город может не совпасть. Тут уж ничего не поделать, если сайт покажет Саранск, а ты в Кисловодске

Этот пункт я указал для защиты от фишинга, где автор предложил вставлять полный URL для проверки. А если нет ссылки, а есть официальное приложение, то и подловить юзера проблематично.

Апи требует токен, получаемый через госуслуги (намертво привязан к человеку). Подозрительная активность с твоим токеном - и его блокируют, и потом доказывай, что ты не парсишь, либо и вовсе товарищ майор интересуется, почему запросов так много.

Да в принципе, мне кажется, проблема надуманна. Как часто подделывают корочки полицейских? Это ж уголовка.

А мошенников газовиков надо начать ловить и сажать, тогда и закончатся они. А так перекладывание с больной головы на здоровую.

Как просто вас провести... В вашем случае тогда можно смело людям на слово верить)

Даже я бы задумался, если бы на голограмме у газовщика было бы написано QC passed, и капли клея вокруг.

Читалка не такая проблема, как распространение. Сейчас телефонную камеру даже без входа в приложения можно направить на qr-код и он его распознает. Даже если телефон включен, но не разблокирован. Я так вафлю цепляю на работе.

А вот сделать читаемый формат на миллионы телефонов уже с завода - та ещё дилемма.

Разве что всем миром такую штуку запилить. Это уже проще в 10.000 тысяч раз. Заодно будет база по всем странам. И, например, Вася Пупков из Зажопинска сможет проверить удостоверение Пабло Хернандеса в Мадриде и ему на Русском языке будет перевод Испанской авторизации полицейского, просто потому что у него в телефоне стоит Русский.

Вот это да, технология. Но мечты, мечты.