26.08.2020 | 18:16

Adam Haertle

Jak rozdać 95 milionów w minutę i przy okazji rozpętać wielką aferę

Przedsiębiorcy z utęsknieniem czekali na 9 rano – czyli godzinę, od której można było składać wnioski o dotację na kapitał obrotowy. Do rozdania było niemało, bo 95 milionów. Skończyły się w momencie, gdy się zaczęły. Kto klika tak szybko? Wyjaśniamy.

Wielkopolska Agencja Rozwoju Przedsiębiorczości, podobnie jak jej odpowiedniki z innych województw, uruchomiła dotacje dla przedsiębiorców. Proces naboru nie był prosty, trzeba było wypełniać wnioski, obliczać, uzasadniać – lecz sam proces zgłaszania był banalny. O 9 rano 24 sierpnia trzeba było kliknąć. Kliknąć szybko – bo decydowała kolejność zgłoszeń.

10 sekund i po sprawie

Oficjalnie po minucie wszystkie środki zostały rozdane. Podejrzewamy (i pokrywa się to z relacjami przedsiębiorców), że nabór mógł trwać nawet krócej. Nie zdziwilibyśmy się, gdyby się okazało, że w ciągu pierwszych 10 sekund było po wszystkim. Albo nawet po sekundzie, o ile serwery dały radę. Tak, proszę Państwa, działa internet. A także sprytne firmy, pomagające w uzyskaniu dotacji.

Snajper dotacji

Powyżej widzicie stronę jednej z firm, pomagających zmieścić się ze złożeniem wniosku w pierwszych sekundach – a pewnie bez problemu także w 1/10 pierwszej sekundy od rozpoczęcia naboru. Czy to możliwe? Czy to legalne?

Jak to działa

Pamiętacie aukcje na Allegro? Dzisiaj większość sprzedaży odbywa się przez „Kup teraz”, lecz kiedyś trzeba było polować na swój wymarzony towar. Oczywiście można było przebijać ofertę konkurencji co 30 sekund, ale prowadziło to do zawyżenia ostatecznej ceny zakupu. Lepiej było przyczaić się i w ostatnich 3 sekundach (lub 1, w opcji dla ryzykantów) wpisać swoją cenę, by nie zostawić konkurencji szansy na ripostę. Trzeba było jednak ustawiać budziki, synchronizować zegarki – sporo zamieszania. Proces ten upraszczały i automatyzowały (za drobną opłatą) serwisy takie jak https://snip.pl/. To one oddawały za nas „złoty strzał” – i dokładnie tak samo działają usługi firm takich jak Snajper Dotacji.

Z technicznego punktu widzenia stworzenie takiego „snajpera” jest dość prostym zadaniem. Prostym, o ile ma konkurować ze „zwykłymi ludźmi”. Komputer zawsze będzie szybszy i bardziej precyzyjny. Trudniej konkurować z innym „snajperem”, ale jeśli nie musimy zająć pierwszego miejsca, a wystarczy zmieścić się w pierwszej setce, to nie powinno być problemu. Oczywiście diabeł tkwi w szczegółach, ale wysłanie żądania o określonej z góry do serwera WWW o wskazane porze nie jest dzisiaj żadnym problemem. Nie jest tez problemem wysłanie tysiąca wniosków w ułamku sekundy. Nie jest też problemem ciągłe wysyłanie wniosków od np. 8:59:00 i weryfikacja, kiedy rozpoczęło się ich przyjmowanie. Napisanie narzędzi, które takie zadanie wystarczająco dobrze zrealizują, to godzina dla średnio utalentowanego licealisty.

Oczywiście stworzenie automatu, który obsłuży setki klientów jednocześnie, zapewni pracę wielowątkową, wcześniej przetestuje różne scenariusze komunikacji, prawidłowo obsłuży kody błędów i sukcesów, przetestuje różne łącza, by zoptymalizować proces to trochę większy wysiłek, ale skoro rozdają miliony, to mała inwestycja powinna się szybko zwrócić. Nie ma w tym niczego dziwnego – to normalny mechanizm rynkowy. W takim sam sposób znikają bilety na koncerty, buty limitowanych serii, terminy na spotkania wizowe w polskich konsulatach na Białorusi i wszystko, co w internecie działa na zasadzie „kto pierwszy, ten lepszy”. Znamy nawet osoby, które takim sposobem rezerwują sobie wizytę w Medicoverze / Luxmedzie u obleganego specjalisty czy na początku pandemii zaklepywały sobie dostawę towarów kupionych online w supermarkecie.

Czy tak wolno?

To skomplikowane pytanie i zapewne odpowiedzą na nie komisje, sądy, prawnicy i politycy. Podobno regulamin naboru nie zakazywał takiego działania – ale nawet, jeśli można było skorzystać z automatu, to niewykluczone, że wobec rozpętanej afery okaże się, że jednak nabór zostanie unieważniony i przy kolejnej edycji ktoś pójdzie po rozum do głowy.

Jak to zrobić dobrze?

Zdefiniujcie „dobrze”… Skoro wnioski opiewały na grubo ponad miliard złotych, a do rozdania było zaledwie 95 milionów, to chyba warto rozważyć inne metody niż „kto pierwszy, ten lepszy”. Taka metoda zapewnia dostęp do pieniędzy najsprytniejszym – a to niekoniecznie są najbardziej potrzebujący.

Rozwiązania techniczne tu niewiele pomogą – czy CAPTCHA, czy limitowanie liczby żądań niewiele pomogły w walce z botami kupującymi buty, więc nie powinniśmy liczyć, że pomogą w walce o prawdziwe miliony. Najwyraźniej trzeba opracować skuteczne procedury naboru i selekcji – a proporcja chętnych do obdarowanych wskazuje, że trzeba stosować gęstsze sito lub zwiększyć pulę środków do rozdania. Ale to już zadanie polityków – my tylko chcieliśmy wskazać, że z technicznego punktu widzenia żadne cuda 24 sierpnia się nie wydarzyły. To trywialne mechanizmy, znane w innych sektorach od lat.

Powrót

Komentarze

  • 2020.08.26 18:30 Jacek

    Zupełnie jak zapisy na zajęcia na studiach. Nie dość, że kto pierwszy, ten lepszy, to jeszcze po paru minutach serwery umierały.

    Odpowiedz
    • 2020.08.26 21:36 masterf

      >Zupełnie jak zapisy na zajęcia na studiach. Nie dość, że kto pierwszy, ten lepszy, to jeszcze po paru minutach serwery umierały.

      To najczęściej wina leniwych adminów na uczelniach oraz pań z dziekanatu mających dobro studentów w głębokim poważaniu.

      Taki USOS na przykład ma różne tryby rejestracji.
      Oprócz tej „kto pierwszy, ten lepszy” są różne inne: przykładowo rejestracje z układaniem preferowanych schematów grup zajęciowych, które potem system stara się przydzielić tak, żeby zadowolić jak najwięcej studentów. Można też wprowadzić kryterium pierwszeństwa (choćby średnia ocen).

      No, ale taką rejestrację trzeba zaplanować. A rejestrację „kto pierwszy, ten lepszy” wystarczy włączyć. Tyle że przy dużym zainteresowaniu serwery padają, a i przydział jest niesprawiedliwy.

      Odpowiedz
    • 2020.08.27 08:01 mpan

      Ja zrezygnowałem z jednej przychodni, bo przy próbie zapisu telefonicznego w momencie otwarcia przychodni wszytkie numerki były już wydane koczującym pod okienkiem babciom. Nawet internetów nie trzeba, żeby „zhakować” system. ;)

      Odpowiedz
      • 2020.08.27 12:28 sdlfkjasflkej

        A wystarczyło złożyć skargę do NFZ że tak postępują. Bardzo szybko zmieniła by się taktyka rejestracji i nie wydawali by wszystkich numerków „babciom”.

        Odpowiedz
  • 2020.08.26 18:42 Duży Pies

    Zapewne kwestią czasu jest pojawienie się cyberprzestępców oferujących takiego „snajpera” np. wyłudzającego/kradnącego dane.
    Skoro można przygotować kampanię phishingową praktycznie pod każdą usługę na którą jest popyt, np. podszywać się pod paczkomaty, to zapewne znajdą się ofiary usług „wniosków o dotację”.
    Niespokojne czasy (pandemia COVID-19) sprzyjają braku ostrożności, gdy ludziom padają biznesy, stają się niewypłacalni i zagląda im w oczy bieda…
    .
    Bardzo dobrze oszukańcze mechanizmy opisał były oszust, którego książkę „Oszukaj mnie, jeśli potrafisz” wydał właśnie Helion. Co ciekawe, jest w niej wzmianka o Niebezpieczniku i Zaufanej Trzeciej Stronie! Cybery powinny tę książkę mieć w małym paluszku!

    Odpowiedz
    • 2020.08.26 22:10 Jan

      Dzięki nie znałem zaraz zamawiam

      Odpowiedz
    • 2020.08.26 22:56 Wiktor

      No i teraz nie wiem czy tak szczerze piszesz o tej ksiażce
      , czy moze to kryptoreklama. Pewnie ro drugie :(

      Odpowiedz
      • 2020.08.27 20:02 wk

        @Wiktor

        Książka jest niezła, choć nie pozbawiona błędów i uproszczeń w obszarze technicznym. Ale za to bardzo dobrze pokazuje tę drugą stronę – przewagi i możliwości, jakie uzyskują przestępcy wchodząc w posiadanie różnych informacji, oraz konsekwencje dla ofiar. Dlatego warto ją przeczytać, żeby zrozumieć o jaką stawkę gramy. I mimo że jest adresowana do potencjalnych ofiar, to jest wartościowa dla „bezpieczników” i przede wszystkim projektantów systemów, bo pomaga zrozumieć, jakie błędy „by design” przyczyniają się do gwałtownego wzrostu ryzyka dla klientów usług.
        I rzeczywiście jest częściowo zlokalizowana czy też zaadaptowana na rynek polski, tzn w procesie tłumaczenia czy też redagowania (nie znam się) wprowadzono komentarze i cale akapity dotyczące specyfiki sytuacji w Polsce – nie tylko jakie strony czytać, ale w jaki inny sposób niż w Stanach działają tu pewne systemy. Natomiast jak kogoś interesuje głównie techniczna strona zabezpieczeń, to nie znajdzie dla siebie bezpośrednich porad. To jest porządna analiza możliwości oszustw i konsekwencji dla ofiar. Nie o tym, jak dobrze zaprojektować system i zabezpieczenia, ale o tym co się dzieje jeśli zrobimy to źle. Szczególnie o błędach założeń. Więc sam oceń, czy dla Ciebie jest ciekawa.

        Odpowiedz
        • 2020.08.27 22:22 Duży Pies

          Lepiej bym tego nie ujął.
          Ale nasz przedmówca woli sobie wkręcać „czy moze to kryptoreklama”. Bzdura i podejrzewanie mnie o złe intencje. A prawda jest taka, że mam dobroć w sercu :)

          Odpowiedz
          • 2020.08.28 08:41 Mateusz

            Jednak to helion… Helion nadal na siłę tłumaczy wszystkie techniczne terminy? Chyba lepiej sięgnąć po wersję angielską.

          • 2020.08.28 14:40 Duży Pies

            @Mateusz
            Helion nie „tłumaczy nadal na siłę wszystkie techniczne terminy”. Zdażają im się błędy w tłumaczeniu ale więcej jest książek dobrze przetłumaczonych niż źle. Poza tym, nie każdy włada biegle angielskim technicznym, więc dla takich ludzi zostaje polskie tłumaczenie, przynajmniej na początek.

  • 2020.08.26 19:16 Michał

    A co gdyby losowo określić wcześniej (1 sekundę przed terminem), które wnioski z kolei powinny otrzymać dotację?

    Wtedy oprogramowanie nie zdąży strzelać w konkretne liczebniki np. 10034, 00348, 29830.

    Po osiągnięciu ostatniego losowego liczebnika można zakończyć proces.

    Będzie przejrzyście i uczciwie.

    Odpowiedz
    • 2020.08.27 12:56 mpan

      Taki system nie jest przejrzysty. Bo albo algorytm jest nieweryfikowalny, czyli powstają pytania „czemu akurat te liczby były wylosowane?”, albo przed losowaniem znane są numerki do „wstrzelenia się”. Być może poprzeczka jest trochę wyżej, ale nie tak wysoko, jak mogłaby być.

      Jeżeli robić losowanie, to przejrzystym algorytmem, żeby każdy mógł zweryfikować wyniki, wymagającym użycia wartości nieznanej przed zakończeniem wysłania wszystkich wniosków: np. hash jawnych danych z wniosków w kolejności zgłoszeń. Przy odpowiednich środkach nadal można zmanipulować system i zwiększyć swoje szanse przez wysłanie w odpowiednim momencie, ale to już zupełnie inny poziom trudności.

      Kłopot jest niestety w psychice. Wybór przez kolejność zgłoszeń daje wrażenie, że ma się jakąś kontrolę nad wynikami. Losowanie to odbiera i wiele osób bardzo nie lubi uczucia braku kontroli — nawet jeśli jest ono złudzeniem.

      Odpowiedz
    • 2020.08.27 13:54 wk

      @Michał

      To z kolei byłaby wtedy normalna loteria.

      Odpowiedz
  • 2020.08.26 20:03 Łukasz

    Tylko że ten snajper nie dał rady płakali o tym na swoim fejsie. Mieli ustawiony czas do 30s po 9 :D

    Odpowiedz
  • 2020.08.26 22:14 Anonimowy

    Na lubelszczyznie było podobnie, z tym że podobno dodatkowo zegar serwera był cofnięty o 1 minutę. Przypadek? Nie sądzę…

    Odpowiedz
  • 2020.08.26 22:18 MB

    Nie mam pretensji, że mój wniosek nie przeszedł. Ba, naiwnie pomyślałem, że różnice w czasach synchronizacji serwerów mogą być większe, dlatego kliknąłem w link w 9, dopiero sekundzie – jakież było moje zdziwienie, czytając w necie, że ludziom nie przeszły wnioski z kliknięcia 09:00:01.

    Zupełnie natomiast nie rozumiem, co wpłynęło na tak długa komunikację z serwerem – nazajutrz otrzymałem oficjalną notę mailową, że serwer łyknął moje zlecenie po kolejnych trzech i pół minucie – co by się zgadzało, z tym, że na poziomie przeglądarki „coś się zawiesiło”

    Rozwińcie proszę, bardzo proszę, możliwe scenariusze – jak to mogłoby jeszcze wyglądać, aby wyizolować boty, ale nie przeciążyć serwera?
    no bo, jak się obchodzi np. tę cholerną googlową captchę: wskaż autobus, albo sygnalizację świetlną, której nigdy nie mogę za pierwszym razem poprawnie rozwiązać ;)

    Czy rejestracje przez boty, mogły mieć ten sam IP, albo MAC adres?

    Czy dwuetapowy formularz miałby sens. Przychodzi mi do głowy taki przykład:
    1) pierwszy formularz generuje link
    2) klikasz w link o umówionej godzinie
    3) pojawia się kwestionariusz z jakąś trudną do przewidzenia wcześniej daną, np.
    4) – 8 i 9 znak Twojego peselu?
    – który miesiąc wybrałeś do porównania przychodów w arkuszu?
    – na jaką literę zaczyna się nazwa ulicy/osiedla wpisana w polu adresu firmy?
    – wpisz jeszcze raz prefix Twojego maila.

    5) wysyłka drugiego kwestionariusza z powyższą odpowiedzią

    * ogólnie coś, czego skrypt sam nie rozwiąże
    * no chyba, że to uruchomi ryzyko przecieków i łapówek jak został formularz weryfikacyjny napisany

    Rozwińcie proszę temat takich zabezpieczeń, o analizę skutków różnych scenariuszy.

    Odpowiedz
    • 2020.08.27 10:43 zbrodel

      W przypadku ogólnym ciężko się przed czymś takim w pełni zabezpieczyć.
      W przypadku takim jak ten – jednorazowe użycie systemu – można na upartego próbować. To trochę takie „security by obscurity” i nie zapewni pełnej szczelności, ale przynajmniej powinno ochronić prze najbardziej naiwnymi mechanizmami:

      – na wersji dostępnej wcześniej powinna być zupełnie inna struktura requestu (nazwy parametrów, wymagane parametry), niż na ostatecznej. Zabezpieczy to przed systemami, które strzelą po prostu spreparowanym wcześniej POST-em. Na powiedzmy 2 minuty przed godziną W podmieniana jest wersja na ostateczną. Oczywiście zwykły user musi mieć jakieś info że mu formularz expiruje i jeśli pobrał go przed tym czasem, musi go przeładować, bo też strzeli starą wersją.

      – na wpadek gdyby ktoś coś takiego przewidział, formatka powinna być możliwie trudna do sparsowania. Może być w całości tworzona javascriptem, co wymusi po stronie „snajpera” użycie środowiska z js (nie wystarczy ściągnąć i statycznie przeparsować html-ki). Może mieć wiele nadmiarowych pól i buttonów o losowych nazwach i takich samych labelkach, ukrywanych css-ami. Oczywiście dalej DA SIĘ coś takiego automatycznie przeanalizować, ale trzeba być choć z grubsza przygotowanym na to, co się będzie parsować – kilka minut to za mało żeby taki parser napisać. Oczywiście formularze na wersji „pre” powinny być bez takich bajerów, żeby nie sugerować, czego można oczekiwać.

      Odpowiedz
      • 2020.08.27 12:36 ;p;pp;l;

        Acha czyli przewagę będa mieli kolesie, którzy znają implementatorów. To wszystko bez sensu, kryterium kolejności jest po prostu skrajnie nie uczciwe i tyle.

        Odpowiedz
        • 2020.08.27 20:12 wk

          @;p;pp;l

          Dokładnie

          Odpowiedz
        • 2020.08.28 09:15 zbrodel

          Przy założeniu że „kolesie” kogoś znają, każdy system można uznać za zły.
          Zresztą, nie szukając daleko, jak jest z przetargami? Niby są kryteria, ale jak się zna „kolesia” to jakoś łatwiej :/

          Odpowiedz
    • 2020.08.27 14:10 Tomek

      https://www.youtube.com/watch?v=dwiQi6PiYmk
      29 kwietnia br
      dwumian policzony? a co wyszło?

      Odpowiedz
  • 2020.08.27 08:11 mpan

    System „kto pierwszy ten lepszy” nigdy nie wybiera „najbardziej potrzebujących”, więc nie ma sensu krytykować snajperów. Ot, zadziałał inny niż oczekiwany mechanizm wybrania szczęśliwców.

    Skoro i tak jest to loteria, to rozwiązanie wcale nie jest skomplikowane: wylosować przejrzystym algorytmem, którego wynik nie może zostać przewidziany przed rozpoczęciem przyjmowania wniosków.

    Odpowiedz
  • 2020.08.27 08:47 adrb

    Wcale by mnie nie zdziwiło gdyby wnioski były złożone jeszcze przed rozpoczęciem rejestracji :)

    Odpowiedz
    • 2020.08.27 10:07 malpiadama

      Czyli wszystko wg dobrej zmiany i dotacje dostali ci co mieli dostać, a nie jakieś tam snajpery i „kasta IT”. Jeszcze wypłynie, że to jakieś nowe narciarskie biznesy albo maseczkowe. ;)

      Odpowiedz
      • 2020.08.27 20:14 aaaa

        Tyle że w omawianym przypadku WARP zarządzający to PO-PSL.

        Odpowiedz
  • 2020.08.27 13:17 Imię

    Dlaczego CAPTCHA nie miałaby utrudnić życia „snajperom”?

    1. Aby złożyć wniosek, trzeba wypełnić CAPTCHĘ. strona z CAPTCHĄ aktywuje się dopiero o 9:00.
    2. Realistycznie, przy dużym obłożeniu serwera, strony z CAPTCHĄ załadują się np. po 30 sekundach.
    3. CAPTCHY (załóżmy googlowskiej) nie rozwiąże się w kilka milisekund, szczególnie z „podejrzanych” adresów IP. Nawet Hindus będzie musiał poświęcić na nią od kilku do kilkudziesięciu sekund. Chodzi nawet nie tyle o obronę przed botami, co wprowadzenie opóźnienia, które pozwoli „uczłowieczyć” nasz proces.

    Ewentualnie można pokusić się o jakieś triki mające zmylić boty, np. kilka przycisków „złóż wniosek” i polecenie, żeby kliknąć np. w czerwony. Patent polega na tym, aby zachować w tajemnicy wygląd strony aż do momentu jej publikacji.

    Oczywiście to jest Polska i nikomu nigdy nie będzie zależeć na rozwiązaniu tego problemu.

    Odpowiedz
    • 2020.08.27 17:07 mpan

      Imię: Wszystkie osoby, które składają wniosek, muszą rozwiązać kapcie. Czyli wszystkim im liczy dolicza się ten sam czas. Model jest następujący: (moment złożenia) = 9:00 + (powolność serwera) · ((opóźnienie kapciowe) + (pozostałe czasy)). Jeżeli pierwszy składnik jest taki sam dla wszystkich, a drugi mniejszy dla automatów, to automaty nadal kończą wcześniej.

      Nawet jeżeli to nie byłoby prawdą, to przy typowym sposobie implementacji kapci mamy trzy problemy. (A) Większość kapci jest trudniejsze dla ludzi niż komputerów. (B) Kapcie często można rozwiązać przed momentem wysłania, bo ustawiają odpowiednie ciasteczka lub dostarczają token: jednorazowe lub wielorazowe, ale nawet jednorazowe można wykorzystać w dowolnym momencie. (C) Uzyskani kapci następuje w momencie wysłania, nie w momencie wypełniania formularzy: czyli formularz wypełniasz przed 9:00, a tylko kapcie uzyskujesz po 9:00. Oczywiście te problemy można eliminować, ale, ale, ale i tak dalej ale.

      Odpowiedz
      • 2020.08.27 20:09 Imię

        Poprawnie zaimplementowana CAPTCHA (w domyśle chodzi o rozwiązanie ReCAPTCHA od Google) nie ma takich problemów.

        Puszczając boty (najlepiej jeszcze z adresów IP proxy lub Tor exit node), hindus będzie siedział kilkadziesiąt sekund żeby pozaznaczać kwadraciki, a prawdziwemu człowiekowi korzystającemu z Chrome i podpiętego konta Google wejdzie od razu.

        Mamy gotowe rozwiązanie którego można użyć i które fajnie działa na skalę wyszukiwarki internetowej. Czemu nie miałoby się sprawdzić przy jakichś debilnych polskich wnioskach o dotacje?

        Odpowiedz
        • 2020.08.27 21:20 Drugie Imię

          @Imię
          Co z użytkownikami, którzy nie używają Google Chroma będąc zalogowanym do swojego konta? Tylko używają Firefoxa, uBlocka, CnavasBlockera i kilku innych fajnych wtyczek. Tzn co ze mną?
          Nie jestem Hindusem a google lubi mnie zapytać czy na obrazku jest rower, a ja nie odpowiadam tylko używam darmowej wtyczki do Firefoxa „Buster: Captcha Solver for Humans” która w ~50% przypadków działa. A gdy już zadziała to działa dużo szybciej niż kilkadziesiąt sekund, i Twoja teoria leży i – oj – kwiczy.
          Przy odpowiedniej ilości dobrych adresów IP (drogo nie będzie za „debilny formularz”) i ~50% szansy na rozwiązanie chaptchy dalej wyłożę ten mechanizm a Ty będziesz uzupełniał wniosek, gdy ja w tym czasie złożę ich dziesiątki.
          Jest inaczej niż Ci się wydaje. „Oczywiście to jest Polska” i „debilne polskie wnioski” – nie pisz tak bo oceniasz coś na czym wyraźnie się nie znasz.
          Miłego dnia.

          Odpowiedz
          • 2020.08.28 00:32 Imię

            „Nie jestem Hindusem a google lubi mnie zapytać czy na obrazku jest rower, a ja nie odpowiadam tylko używam darmowej wtyczki do Firefoxa „Buster: Captcha Solver for Humans” która w ~50% przypadków działa. A gdy już zadziała to działa dużo szybciej niż kilkadziesiąt sekund, i Twoja teoria leży i – oj – kwiczy.”

            Pozwala Ci na to, bo zostałeś (słusznie) sklasyfikowany jako człowiek. Trzymasz może telefon w zasięgu routera domowego? To wystarczy ;)

            „Przy odpowiedniej ilości dobrych adresów IP (drogo nie będzie za „debilny formularz”) i ~50% szansy na rozwiązanie chaptchy dalej wyłożę ten mechanizm a Ty będziesz uzupełniał wniosek, gdy ja w tym czasie złożę ich dziesiątki.”

            Spełnienie obu tych warunków nie jest takie proste. Prawdopodobnie od dawna (lub nigdy) nie działałeś w temacie i zakładasz prawdziwość pewnych rzeczy.

            „Jest inaczej niż Ci się wydaje. „Oczywiście to jest Polska” i „debilne polskie wnioski” – nie pisz tak bo oceniasz coś na czym wyraźnie się nie znasz.”

            Przecież gdybym nie miał racji, nie powstałaby ta cała afera.

            Zrobić formularz który jest dostępny ciągle, w taki sposób, żeby nikt go nie rozpracował? Zgadzam się, trudne lub niemożliwe.

            Zrobienie tak formularza, którego czas użyteczności, nawet bez udziału botów, wynosi maks. 5 minut? Przecież proste nadmiarowe inputy czy duplikowanie elementów poradzi sobie tak, że zanim operator bota to skoryguje, będzie już po zabawie.

        • 2020.08.27 22:16 wk

          @Imię

          Czekaj, bo nie zjarzyłem – chciałbyś żeby wnioski o dotację były zależne od posiadania konta Google i wysłania ich z Chrome? :o Czy żeby wytworzyć analogiczne rozwiązanie?

          Odpowiedz
          • 2020.08.28 00:07 Imię

            Ja tłumaczę tylko jak działa ReCAPTCHA. Jest ona bardzo dobra w odróżnianiu człowieka od botam, nawet zanim pojawi się pierwszy obrazek. Jeżeli nie ta konkretna technologia, mamy mnóstwo komercyjnych zabezpieczeń antyfraudowych, które radzą sobie w równie skuteczny sposób.

            „Co z użytkownikami, którzy nie używają Google Chroma będąc zalogowanym do swojego konta? Tylko używają Firefoxa, uBlocka, CnavasBlockera i kilku innych fajnych wtyczek. Tzn co ze mną?”

            Przykro mi, ale posiadając te wszystkie bajery jesteś dla Google tak samo fingerprintowalny, jak ktoś z Chrome i podpiętym kontem. Wychodzi na to samo.

            „Czekaj, bo nie zjarzyłem – chciałbyś żeby wnioski o dotację były zależne od posiadania konta Google i wysłania ich z Chrome? :o Czy żeby wytworzyć analogiczne rozwiązanie?”

            Jeżeli jakiś fingerprint przeglądarki jest znany dla Google, CAPTCHA przejdzie o wiele szybciej niż dla bota, co pozwoli człowiekowi zyskać czas.

            Zapominacie, że z waszymi Firefoxami i dodatkami do nich pasujecie raczej do pedofili i hakerów, a nie do grupy docelowej takiego wniosku – normalnych, niezaawansowanych technicznie właścicieli jdg jadących na Chrome + Windows 10. Gdyby wniosek dotyczył darmowego granulatu dla pedofili, wtedy trzeba by było pomyśleć o innych zabezpieczeniach.

          • 2020.08.28 15:19 wk

            @Imię

            1) Na podstawie nieustających „badań w terenie” mogę Cię zapewnić, że nie każda mała firma jedzie na Chrome + Win10 :D Nie widzę uzasadnienia ani podstaw prawnych dla dyskryminowania podatnika ze względu na użytą technologię.
            2) Uzależnianie dostępu do usług publicznych od usługi dostarczanej przez podmiot komercyjny z siedzibą poza UE jest wątpliwe prawnie.
            3) Uzależnianie dostępu do usług publicznych od fingerprintu przeglądarki jest jeszcze bardziej wątpliwe prawnie.

          • 2020.08.28 17:36 Imię

            Panie wk,
            „2) Uzależnianie dostępu do usług publicznych od usługi dostarczanej przez podmiot komercyjny z siedzibą poza UE jest wątpliwe prawnie.”

            Skąd mogę ściągnąć państwową przeglądarkę internetową? ;)

            „Uzależnianie dostępu do usług publicznych od usługi dostarczanej przez podmiot komercyjny z siedzibą poza UE (nieprawda)” jest powszechne. Wydruków z CEIDG (KRS, eKW, …) nie uzyskasz bez przejścia ReCAPTCHY.

            „3) Uzależnianie dostępu do usług publicznych od fingerprintu przeglądarki jest jeszcze bardziej wątpliwe prawnie.”

            Wniosek może złożyć każdy bez właściwego fingerprinta. To że taki wniosek będzie złożony za późno żeby dostać dotację to inna sprawa…

          • 2020.08.29 03:15 Kip

            > z waszymi Firefoxami i dodatkami do
            > nich pasujecie raczej do pedofili i
            > hakerów, a nie do grupy docelowej
            > takiego wniosku – normalnych,
            > niezaawansowanych technicznie
            > właścicieli jdg jadących na Chrome
            > + Windows 10.

            No i?

            Nic nikomu do tego jaką sobie ustawiam przeglądakę i wtyczki.

            A już wnioskowanie że jestem przestępcą – wypraszam sobie.

            > 2) Uzależnianie dostępu do usług
            > publicznych od usługi dostarczanej
            > przez podmiot komercyjny z siedzibą
            > poza UE jest wątpliwe prawnie.

            W ogóle wszystkie skrypty od Google’a i jemu podobnych na stronach usług publicznych powinny zniknąć. Nawet jeśli są użyteczne.

          • 2020.08.29 14:50 wk

            @Imię

            Proponuję przejście na „Ty” :)
            ad 2) Nie musisz państwowej. Wystarczy że masz wolność wyboru. Przeglądarki są różne, w tym opensource’owe. Problemem jest uzależnienie od usługi identyfikacyjnej dostarczanej przez podmiot znajdujący się poza europejskim obszarem prawno-gospodarczym. Poza tym, pomysł z przeglądarką dedykowaną „państwową” jest całkiem niezły. Są podmioty dostarczające swoje przeglądarki aby zapewnić prawidłowe działanie usług, przykładem jest Steam.
            ad 3) Tak zrozumiałem. I jest to rozwiązanie nieprawidłowe. Zauważ, nie mówię że nie zadziałałoby. Zadziałałoby. Tylko że wprowadziłoby do „konkursu” dodatkowe niejawne kryterium. Dałoby się je obronić tylko wpisaniem w regulamin „konkursu”. A przy wpisaniu go z kolei pojawiają się wątpliwości prawne.
            PS. Ogólnie intryguje mnie opisane przez Ciebie rozwiązanie, ale obstawałbym przy dostosowaniu go do obowiązującego porządku prawnego. Chodzi w końcu o pieniądze publiczne. Jak będzie nieprawidłowość, to nawet po latach zostanie to wyciągnięte przez instytucje kontrolne i podchwycone przez przeciwników politycznych ;) W tej chwili najbardziej rokująca wydaje mi się a) dedykowana przeglądarka (wpisana w regulamin), zawczasu autoryzowana w systemie losującym, b) składanie wniosku w webaplikacji po zalogowaniu jako firma.
            PPS. Jak Ci się podoba burza mózgów w działaniu? ;) Nie szukamy racji tylko dobrego rozwiązania, oglądając sytuację z różnych punktów widzenia.

          • 2020.08.29 15:02 wk

            @Kip

            >W ogóle wszystkie skrypty od Google’a
            >i jemu podobnych na stronach usług publicznych
            >powinny zniknąć.
            >Nawet jeśli są użyteczne.

            W pełni się z tym zgadzam. Także te niewidoczne, jak podłączenie do Google Analytics. Nie da się uniknąć analityki hostingodawcy, ale z nim i tak jest umowa o powierzenie danych, co zdecydowanie zmienia postać rzeczy.

            Z tym co piszesz że „Nic nikomu do tego jaką sobie ustawiam przeglądakę i wtyczki. A już wnioskowanie że jestem przestępcą – wypraszam sobie.” też się zgadzam, i mimo to że są stosowane algorytmy wnioskowania oparte na fingerprintach i innych czynnikach, legalność ich użycia jest systematycznie podważana w większości stabilnych prawnie krajów.

          • 2020.08.30 12:24 Drugie Imię

            @Imię
            Zdajesz się nie dopuszczać do siebie cudzej perspektywy, a Firefoxa używają tylko wywrotowcy i pedofile. Więcej pokory.
            Hasła „Oczywiście to jest Polska” i „debilne polskie wnioski” świadczą o Tobie negatywnie. Więcej pokory.
            Miłego dnia.

  • 2020.08.27 18:33 sdjksdf

    1. Opublikować listę ~5-10 wielomianów generujących
    2. Zebrać wnioski, każdemu złożonemu wnioskowi przyporządkować klucz
    3. Opublikować listę złożonych wniosków (para pozycja-klucz)
    4. Publicznie wylosować jeden z wielomianów i wartość początkową
    5. Kolejne wartości z wielomianu oznaczają pozycj na liście rankingowej

    Odpowiedz
  • 2020.08.27 20:48 Kamil

    Jest prosty sposób, aby uniknąć tego w przyszłości. Nie rozdawać pieniędzy, a jeszcze prościej – nie zabierać ich.

    Odpowiedz
    • 2020.08.28 02:34 Piotr

      Jedyna sensowna odpowiedź pod tym art.

      Odpowiedz
    • 2020.08.28 07:34 B0RGWarnerT5

      I tym ładnym podsumowaniem zamknąłbym temat.

      Odpowiedz
  • 2020.08.27 23:57 Damian

    Snajper nie dał rady, nikt kto korzystał z tego rozwiązania nie uzyskał grantu. Gównoburza z botami jest bez sensu. A nabór trwał realnie 1/100 sek. przez taki czas na serwer wpłynęło 4 tys. wniosków.

    Odpowiedz
  • 2020.08.28 12:27 Leszek

    Nie było łatwo oszukać czas, więc wersja z wnioskami przez 9:00 raczej upada.
    W systemach generujących UPO obowiązuje rozporządzenie ministra MSWiA o użyciu zegara czasu urzędowego. Admin nie jest w stanie łatwo cofnąć zegara na serwerze, bo zostawiłby mnóstwo śladów, a procedura generowania UPO musi odwołać się do czasu urzędowego.

    Odpowiedz

Zostaw odpowiedź do mpan

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Jak rozdać 95 milionów w minutę i przy okazji rozpętać wielką aferę

Komentarze