Команда Golos.io плотно занята внедрением новой концепцией регистрации на Голосе. Разработка практически завершена, тестируется и будет имплементирована ближайшие дни.
Хотим ознакомить пользователей с самой концепцией регистрации.
Регистрация в GOLOS.io
Давайте рассмотрим логику работы регистрации по этапам:
- Пользователь нажал на кнопку "Регистрация".
- Попросить пользователя указать его реальный e-mail.
- Отправить пользователю на e-mail письмо со ссылкой для подтверждения его e-mail.
- Пользователь, проходя по ссылке из e-mail сообщения полученного от GOLOS.io, попадает на следующий этап регистрации, где его просят ввести реальный номер мобильного телефона, причем не городской, а именно мобильный.
- Пользователь должен отправить СМС-сообщение с кодом на мобильный номер, указанный в окне регистрации, для того чтобы доказать, что он не бот.
- Если пользователь отправил СМС-сообщение, и система его увидела, то пользователь попадает на последний этап регистрации, где указывает свой логин и пароль.
- Пользователь попадает в мир свободы и блокчейна.
Текущая регистрация ужасна, и мы это понимаем. Но давайте не будем забывать о том, что за каждую регистрацию киберфонд платит рублем/токенами.
Вопрос:
Почему кто-то должен платить за регистрацию?
Ответ:
А потому как пользователь без токенов в нашем с вами медиа-блокчейне не сможет ничего сделать, ни пост написать, ни поддержать авторов, ну и комментарии оставлять тоже не сможет. Экономика такая. Если вновь прибывшим пользователям давать возможность полноценно использовать платформу, то нужно где-то взять для этого токены и переслать их пользователю. Соответственно сейчас каждая регистрация - перевод токенов новому пользователю (меня не надо поправлять, в любом случае регистратор теряет токены, а новый пользователь их получает).
Вопрос:
Откуда берутся эти токены?
Ответ:
Наш могучий пользователь @golosio в момент регистрации тратит «5 ГОЛОСОВ» на каждого нового пользователя. Итак с этим разобрались.
Кибер Фонд оплачивает регистрации;
Новый пользователь получает на счет своей учетной записи токены.
Теперь давайте обсудим почему текущая регистрация так ужасна полезна. Для того чтобы понять почему сейчас такая логика, давайте вернемся во времена, когда была возможность зарегистрироваться через соц.сети типа VK & FB. Все работало хорошо, и мы бы не переезжали на новый способ регистрации, но в какой-то момент появились авторегистрации. В день из 100% зарегистрированных аккаунтов, реальных было 5-10%. Или в среднем из 1500 аккаунтов 100-150 реальных. Остальные аккаунты регистрировались автоматическим путем и для каких-то явно нецелевых использований на нашей платформе. Активность этих пользователей до сих пор нулевая, и мы не знаем, зачем оно нужно и кому. Для нас это неэффективное расходование средств на регистрацию. Мы платим за реальных пользователей и реальную активность на платформе. Хочешь 100500 аккаунтов - плати токеном.
Мы бы рады сделать регистрацию одним шагом, но это невозможно на данном этапе.
Вопрос:
Почему? Есть ли возможность максимально упростить регистрацию? Максимально - значит сделать одним шагом.
Ответ:
Например, так:
Зашли на сайт, ткнули «зарегистрироваться», ввели свободный логин, сформировали пароль, сохранили пароль (распечатали, попросили кота заучить наизусть) и понеслась.
Вопрос:
Все бы хорошо, но а вдруг кто-то украл аккаунт пользователя, кошку допросил или вскрыл компьютер? Как быть? Какие дальнейшие действия? Как восстановить аккаунт?
Ответ:
Можно написать гневное сообщение в чатиках, можно описать проблему сообщением нам в саппорт с просьбой восстановить. А еще можно восстановить аккаунт через регистратора (в нашем случае через @golosio, некоторые пользователи меняют своего регистратора на своих пользователей). Данная возможность работает только в течении 30 дней после того как был изменен пароль. Главное пользователю не потерять свой старый пароль, это тоже важно при восстановлении украденного аккаунта. Есть еще одна особенность выполнения данной операции восстановления. Операцию должен подписать аккаунт регистратор, в нашем случае это пользователь @golosio. Для того, чтобы в автоматическом режиме сделать это, нам необходимо, чтобы пользователь подтвердил запрос через свой e-mail указанный при регистрации. Ой, простите. Мы же говорим о регистрации в один клик. Пользователь ничего не указал при регистрации, только свой логин.
Вопрос:
Как мы можем помочь в этой ситуации?
Ответ:
Мы не знаем, кто реальный владелец аккаунта в блокчейне. Нет у нас такой информации. Для того, чтобы помочь в подобной ситуации, мы намеренно просим нового пользователя подтвердить реальный email
адрес в момент регистрации, чтобы потом он мог восстановить свой украденный аккаунт.
Вопрос:
А что если пользователь потерял пароль доступа к своему аккаунту, что ему делать?
Ответ:
Ничего. Пользователь не сможет сбросить пароль. Нет такой возможности в системе. Это примерно как потерять пластиковую карточку, позвонить в банк и сказать что мол восстановите пжл. Карточку банк не восстанавливает, а напечатает новую. Так же и здесь, только вы еще потеряете деньги. Есть одна возможность восстановить аккаунт или деньги на его счету: попросить делегатов форкнуть блокчейн.
Email необходим для восстановления аккаунта в случае кражи.
Сбросить пароль через email почту или моб. телефон не получится, нет такой возможности.
Вопрос:
Тогда зачем при регистрации нужно отправлять СМС
куда-то?
Ответ:
Чтобы отсеять авторегистрации (ботов, мошенников). Мы не получаем денег за отправленные пользователями СМС
сообщения. Пользователь платит только за сам факт отправки сообщения своему сотовому оператору. Стоимость отправки таких сообщений мы не знаем, у каждого свой тарифный план и соотв. цены на отправку. Может у кого-то пакет на 1000 сообщений стоит, и ему будет оно вообще бесплатно. Нас это не волнует, мы отсеяли мошенников и наш медиа-блокчейн стал чище. Задачу выполнили.
Вопрос:
Где хранятся номера мобильных телефонов пользователей? Насколько надежно это хранение?
Ответ:
Мы храним моб.телефон в виде хеша sha256. Если вы знаете, то хеш необратим. Нельзя восстановить по хешу номер телефона. Практически все системы, хранящие пароли пользователей, хранят их в виде хешей. Это практика такая, для безопасности. Так же и мы поступили. Мы не знаем реального номера, у нас хранится только хэш.
Регистрация 2.0
Задача, которую мы поставили перед собой - максимально упростить регистрацию для пользователя. Для этого мы разработали новую логику регистрации:
- Пользователь нажал на кнопку "Регистрация".
- Попросить пользователя указать номер мобильного телефона, причем не городской, а именно мобильный, и нажать на кнопку "Подтвердить". После подтверждения все в том же окне пользователю предлагается отправить
СМС
сообщение с кодом указанным в подсказке. - Пользователь должен отправить
СМС
сообщение с кодом на указанный моб.номер. - Если пользователь отправил
СМС
сообщение и система его увидела, то пользователю все в том же окне (без переходов) предлагается указывать свой логин и пароль. - Пользователь попадает в мир свободы и
блокчейн
-а.
Вопрос:
Чем данный подход лучше?
Ответ:
Пользователь осуществляет все действия в одном окне, без переходов и перезагрузок страниц сайта. Действия пользователя максимально упрощены. Ему не требуется делать лишних телодвижений. Его задача указать свой моб.номер и отправить смс. Далее пользователь ждет активации следующего этапа ввода логина и пароля.
Вопрос:
А как же email? Как потом можно будет восстановить украденный аккаунт?
Ответ:
В личном кабинете пользователя будет возможность указать свой email для подобных случаев. Сделать это надо будет пользователю сразу. Но мы не будем на этом настаивать. Мы лишь будем предупреждать пользователя об этом путем оповещения в кабинете.
Команда Golos.io
Я извиняюсь, конечно, но у меня впечатление, что регистрация построена вокруг задачи "Не дать врагам понапрасну истратить 5 Голосов Киберфонда", да и ту решает с грехом пополам.
Задачу предоставления новым пользователям кредита для нормальной работы надо решать как-то иначе - через кредитный смарт-контракт, через специальный фонд, но точно не так, как сейчас, через отправку СМС (которую можно все равно делать с любого сотового, хоть чужого).
В ХФ будет делегирование силы, и вопрос с регитсрацией снимется. эти 5 голосов будут давать пользователям в долг на срок Х)
Сделать смарт-контракт можно, приятно иметь дело с экспертами блокчейна. Опишите вашу концепцию смарт-контракта и мы удовольствием это устроим. Только вот есть одна проблема, смарт-контрактов пока нет, но в ближайшем будущем они появятся и мы к этому времени может уже будем в руках держать похожую концепцию. Касательно задачи
Математика простая. В день в среднем эти ребята воруют из бюджета
1250
(пользователей ботов) умножить*
на5 ГОЛОСОВ
=6250
ГОЛОСОВ. В месяц получаем187500
ГОЛОСОВ.Курс сами знаете какой. Около млн.руб. в месяц блокчейн платформа должна тратиться на врагов.
Расскажите нам как еще можно решить эту проблему, если у вас есть мысли. Спасибо.
Спасибо за ответ, весьма напоминающий интерфейс golos.io. Полагаю, мы дождемся хардфорка, и, как ниже написал t3ran13, проблема 5 голосов снимется, да и функционал альтернативных клиентов, например, goldvoice.club, вскоре настолько расширится, что позволит забыть про golos.io.
Поясните что с ответом выше не так.
Проблема с 5/3 ГОЛОСАМИ как была так и останется, не надо фантазировать. Очень рады что голдвойц бурно развивается. Молодцы ребята. Привет им от нашей команды.
Вариант сделать систему вайпа при отсутствии активности пользователя. (не написал что то дельное забрать инвестиции удалить аккаунт. Собрал ряд флагов забрать инвестиции удалить аккаунт. и т.д.
@wedge ++++ подписался . А на счет выделения токенов и прочего можно сделать отдельную песочницу для новичков с ускоренным ростом для нормальных авторов. с последующим их переводом во взрослую лигу. по достижении нужного количества нубо токенов.
Да и старый способ регистрации нормальный был, на мой взгляд) да, он немного больше времени занимал, потому что надо было в почту зайти и перейти по ссылке. Но, эти полминуты роли не играют.
А вот поводу ботов типа deadhead можете что-то сделать? Они тут регаются чтобы в лотереях участвовать, там 100 аккаунтов у него. Если киберфонд каждому такому боту ещё и денежку даёт при регистрации - то это вообще атас.
@golosio @pav Только что читал по этому поводу @flamer.
А на счет защиты от ботов увы мера верификации по смс не эффективна. Ботов и так с головой как и куча дублирующихся аккаунтов.
Тому же что вы пишете что согласно стоимости оператора , потенциальные пользователи не верят. Могут поверить лишь те кто уже зарегистрировался, а не новые пользователи.
Слишком много мошеннических схем было с требованием отправить СМС или позвонить... Я сам пока мне два человека из знакомых не подтвердили о стоимости СМС не регистрировался. А если бы не было знакомых так и вообще прошел бы стороной мимо проекта.
Идентификация уникальности пользователя даже с использованием проверки мобильного не выполняет своей роли. можно купить 100500 симок предплаченых , или вообще организовать свой пул виртуальных номеров... на крайний случай собрать по 100500 знакомым их телефоны .. и отправить кучу смс... От авто регистрации это сомнительная защита.
Это не тот уровень защиты, за который надо держаться. Верификация почты , это реальная необходимость. И то сомнительная. Забыл потерял свой пароль, восстановить нельзя, так в чем смысл? Украли аккаунт, так скорее почту ломанут, там пароли по проще будут... да к тому же скорее всего будут красть связку аккаунт + почта. Так надежнее.
Отлично
Ваш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
litrbooh, littleboo, ianboil, ukrainian, neo, chiliec, max-max, archibald116, dimarss, shuler, vadbars, yurgent71, vasilisapor2, borodaus, renat242, tnam0rken, karusel1, arystarch, exan, newodin, vika-teplo, prost, bombo, kertar, smartell, foxycat, tatdt, alexmove, chugoi, ajita, galinakim, sansey, aleos, funt33
Поэтому я тоже проголосовал за него!
Узнать подробности о сообществе можно тут:
Разрешите представиться - Кит Добрый
Правила
Инструкция по внесению Инвестиционного взноса
Вы тоже можете стать Инвестором и поддержать проект!!!
Если Вы хотите отказаться от поддержки Доброго Кита, то ответьте на этот комментарий командой "!нехочу"
dobryj.kit теперь стал Делегатом! Ваш голос важен для всего сообщества!!!
Поддержите нас на странице https://golos.io/~witnesses, вот так:
делегирование давно реализовано и протещено, моли бы давно уже накатить и пользоваться))
Поддерживаю! :)
В STEEM регистрация была без SMS. Хэш номера телефона вы храните с "солью"? Иначе их легко перебрать.
вам выбросить с десяток хешей для разминки? :) не забываем что там sha256
Пусть первая цифра 7, тогда остается 10 десятичных цифр или 10^10 вариантов. Только на одном ядре CPU могу перебирать 250 KH/s (SHA-256), т.е. примерно 11 часов:
Если хэши без соли, то присылайте!
Правильно! Виталик одобряет.
Может быть создавать аккаунты за счет дневного пула чтобы не разорять киберфонд?
оговорка по фрейду?
Почему вы платите по 5 голосов, если минимум 3?
Сделайте уведомление о том, что с одного номера только один акк можно зарегистрировать. А то я наотправлял СМСок, меня каждый раз выпрасовало на начало, вместо того, чтобы сразу сказать что на этот телефон уже зарегистрирован аккаунт.
Кстати, как будут восстанавливаться пароли тех, кто попал в блок-чейн через шаре-дроп? Не помню, чтобы указывал е-майл.
Сам не помню как регистрацию проходил , а вот родича регистрировал с третьей симки прокатило ...
Да и можно сатошиками оплатить проход через "буферную зону"
Да смс обошлась ровно 0, тариф видать хороший
Восстанавливать пароли не будут. Об этом уже говорили не однократно вроде. Если я конечно чего то не пропустил.
Аккаунты с шаре-дропа хуже других? Или как?
Да и у других нет возможности восстановить утеряный пароль. при этом сообщается при регистрациию.
@golosio @pav Да и к тому же чтобы проверить пользователя можно не его требовать отправить смс , а отправлять самим ему... с просьбой ввести полученный код. К такому способу верификации у пользователей сети доверия больше.
Отправка кода пользователю на моб. была и это не сработало. Буквально через 5 дней после введения этой истории боты вновь активизировались и в день было до 1500 авторегистраций с мертвыми пользователями.
Просто я очень хотел бы чтобы данный проект успешно развивался и разростался.
аналогично некогда популярным ныне соцсетям. А пока увы темпы развития не очень радуют.
К тому же от авторегистрации можно использовать поэтапно на каждом ввод одной или нескольких капч.
Капчи вводят китайцы за копейки. Было уже, проходили капчу и прочее.
к тому же есть ряд капч требующих не введения, а ряда действий. которые так же можно ограничить таймером жизни при необходимости. типа выбрать 4 фигуры в нужном порядке - 5 секунд. нет отказано в доступе.
За одно избавит Голос от мусорных или низкокачественных постов. Одним камнем двух зайцев...
ТОгда остается только вариант песочницы . Это окончательно позволит фильтровать входящий контент в проект.
Тут не факт что регистрация была от ботов, возможно просто малоактивные пользователи регались и не разобравшись уходили.
Дело ведь в том что авторегистрацию в любом случае не побороть. Если есть цель она будет достигнута не смотря ни на какие преграды.
Безусловно, но пусть это будет не за счет инвесторов данного проекта.
Да в любом случае и за счет инвесторов организовать можно. С учетом что вирутальные номера с возможностью отправки смс не дороги... такая защита кажется некоторым атавизмом. К тому же способной отпугнуть пользователей.
А как вы умудряетесь тестировать то, что еще не реализовано (имплементировано, по вашему)?
тестовый сайт платформа. как всегда в таких случаях.
имплементировано = реализовано в коде, для меня по крайней мере...
to implement - реализовывать, an implementation - реализация
функциональность сначала реализуется, потом тестируется, а уже затем деплоится на продакшн... как-то так оно бывает... поэтому и возник вопрос :)
Это больше напоминает легкое буквоедство, так как из контектса понятно что речь о реализации на действующем сервере. Так как то что реализовано на тестовом не факт что пойдет в продакшен.
Реализация выполняется путем редактирования исходного кода, потом этот код деплоится на тестовый сервер, затем уже на продакшен, если пройдет тестирование... Реализация и деплоймент это разные процессы, их часто делают разные люди, а иногда и разные команды. А тут складывается впечатление, что автор текста не видит разницы между этими понятиями...
Спасибо. Именно так и происходит тестирование.
Иначе то и придумать сложно и необходимости изобретать колесо нет никакой.