Знакомо? Что делать и кто виноват? Доверие к производителю часов у вас начинает резко падать. А разве виноват произоводитель часов, что его продукцию подделывают? Спорный вопрос, мне кажется. Так или иначе, очевидно, что контрафакт причиняет огромные репутационные потери и убытки легальным производителям.
Решением может быть использование продукта EMC DPO и блокчейна Emercoin.
Как это может работать:
Представим, вы приходите всё в тот же магазин дорогих часов, выбираете товар, но перед его покупкой видите на коробке QR-код с сопроводительной надписью что-то вроде «отсканируй меня, чтобы убедиться, что я не подделка». Вы сканируете QR-код, который отправляет вас на сайт производителя, где открывается, непосредственно, информация существует ли товар с таким серийным номером и был ли он ранее куплен кем-то другим:
а, так же, краткое описание о товаре и его производителе:
Так же, можно увидеть, что какой-то товар уже кто-то ранее купил и активировал (в этом случае, можно однозначно сделать вывод, что продаваемый товар в магазине либо уже был в употреблении, либо же подделка):
Итак, допустим, вы в магазине убедились, что товар не подделка и не был ранее в употреблении. Вы его приобретаете и приходите домой. Распаковываете и видите внутри коробки другой QR-код, скрытый за светонепроницаемой защитной пленкой с сопроводительной надписью что-то вроде «отсканируй меня для активации товара». Снимаете пленку, сканируете QR-код, нажимаете «Активировать товар»:
затем, вводите (по желанию) свое имя и отзыв к товару, а, так же, задаете пароль (с помощью которого вы позже сможете 1 раз изменить свой отзыв к товару):
И, тогда, минут через 10, информация о покупке этого товара будет публично доступной как на сайте производителя, так и в блокчейне Emercoin, где его может просмотреть любой желающий:
{
"name": "dpo:Your Company:DEMO-1001:0",
"value": "Item=Name of your product\nDescription=The description of your product\nPhoto=http://www.blockchainengine.org/wp-content/uploads/2016/04/Smart4.png\nOTP=bb680a8bcae3e5be23f3c9ed4d3d0e97d42cebe561f53a5a7502e2d150a937fb\nOwner=Garrett\nSecret=3aff84a0afcd7201b112652b8692975bcfdeb0060de5efbdaeb16d806f62848d\nComment=Cool !\nUpdated=1",
"txid": "ee1ed730e16c41c7a42b3b87bf5bd5936b2e69a6448f510e08dd70d40bf57c1e",
"address": "ERGPQNKpmJNaXeaq6ZDYwgghQDMBQGVema",
"expires_in": 255036,
"expires_at": 471574,
"time": 1488110346
}Вы можете сказать: «Причем здесь блокчейн? Такое вполне можно сделать централизованно производителем товаров!». Да, действительно, можно. Но использование децентразизованного хранилища в виде блокчейна обеспечит полную прозрачность над действиями производителей. Так, у них не получится выпустить неучтенный «левый» товар — всё будет публично и открыто. Если для производителя важно быть открытым и честным — то это, однозначно, выбор в сторону решения EMC DPO на базе блокчейна Emercoin.
Развертывание EMC DPO на вашем сервере
В этом разделе мы рассмотрим как развернуть и настроить EMC DPO на вашем сервере с ОС Ubuntu 16.04 LTS (amd64). Но, так же, поддерживаются и другие ОС: Ubuntu 14.04 LTS (amd64), Debian 8 (amd64, armhf), RHEL/CentOS 7 (x86_64).
1. Установка службы Emercoind
Воспользуемся стандартными средствами для установки Emercoind:
apt-key adv --keyserver keyserver.ubuntu.com --recv B58C58F4
add-apt-repository 'deb http://download.emercoin.com/ubuntu xenial emercoin'
apt update && apt -y install emercoinУбедимся, что emercoind установился, работает и начинает скачивать блокчейн:
emc getinfo{
"version": 60000,
"protocolversion": 70002,
"walletversion": 60000,
"balance": 1.090000,
"newmint": 0.000000,
"stake": 0.000000,
"blocks": 216541,
"moneysupply": 39554119.651462,
"timeoffset": 0,
"connections": 8,
"proxy": "",
"ip": "0.0.0.0",
"difficulty": 206196413.012576,
"testnet": false,
"keypoololdest": 1487850355,
"keypoolsize": 501,
"mintonly": false,
"unlocked_until": 0,
"paytxfee": 0.010000,
"relayfee": 0.000100,
}Дожидаемся, пока блокчейн скачается. Отправляем на кошелек некоторое количество монет (из расчета, примерно, 0.12 EMC на одну операцию по созданию/обновлению инфо в блокчейне).
Создать новый адрес кошелька можно командой:
emc getnewaddress2. Создание NVS записей
Необходимо создать записи в NVS блокчейна для производителя (вендора) и, непосредственно, для товаров (отдельная запись для каждой единицы товара).
2.1. Создание главной записи вендора
Определим начальные сведения. Пусть:
- Производитель (вендор) называется «Your Company»
- Логотип вендора находится по ссылке:
http://emercoin.com/images/main-logo.png - Также, мы хотим создать дополнительное поле «Description» и поместить в него сведения: «The description of your Company»
- Запись будет активной в течение 730 дней
Тогда, такую запись можно создать следующей командой:
emc name_new "dpo:Your Company" "Name=Your Company
Description=The description of your Company
Logo=http://emercoin.com/images/main-logo.png" 730После выполнения этой команды, получаем код Transaction ID, если всё прошло успешно.
Дожидаемся попадания этой записи в блокчейн. Для этого, выполняем команду:
emc name_show "dpo:Your Company"после попадания в блокчейн, мы должны увидеть что-то подобное:
{
"name": "dpo:Your Company",
"value": "Name=Your Company\nDescription=The description of your Company\nLogo=http://emercoin.com/images/main-logo.png",
"txid": "b11384b162e2d3d2900d10e942c6ae3aa8bca94801dc119677685d68d35c9712",
"address": "ERGPQNKpmJNaXeaq6ZDYwgghQDMBQGVema",
"expires_in": 127749,
"expires_at": 343616,
"time": 1487856529
}запоминаем значение поля «address» — это будет основным адресом, от имени которого должны будут созданы все последующие записи продуктов.
Дополнительно, мы должны придумать «соль» паролей пользователей, чтобы осложнить задачу злоумышленникам по перебору паролей — произвольный набор символов. Пусть для примера он будет "
johNah2koosie3iG".2.2. Создание записей продуктов
Определим начальные сведения. Пусть:
- Товар называется «Name of your product»
- Фото товара находится по ссылке:
http://www.blockchainengine.org/wp-content/uploads/2016/04/Smart4.png - Также, мы хотим создать дополнительное поле «Description» и поместить в него сведения: «The description of your product»
- Для начала, мы хотим создать 100 серийных номеров товара: от SN-55001 до SN-55100
- Записи каждого товара будут активными в течение 730 дней
Тогда, такие записи можно создать при помощи исполнения следующего скрипта (предварительно установив php-cli и pwgen):
#!/bin/bash
# Source: https://github.com/snvakula/svtools/blob/master/emcdpo-genbulk.sh
URL="http://emcdpo.info/dpo"
SALT="johNah2koosie3iG"
ADDRESS="ERGPQNKpmJNaXeaq6ZDYwgghQDMBQGVema"
VENDOR="Your Company"
ITEM="Name of your product"
PHOTO="http://www.blockchainengine.org/wp-content/uploads/2016/04/Smart4.png"
OTHERS="Description=The description of your product"
PREFIX="SN-"
FIRST=55001
LAST=55100
DAYS=730
while [ $FIRST -le $LAST ]; do
echo "Creating serial $PREFIX$FIRST:"
SECRET=$(pwgen 8 1)
OTP=$(php -r "echo(hash('sha256', md5('$SECRET'.'$SALT')));")
echo " * SECRET: $SECRET"
echo " * OTP: $OTP"
echo " * Public URL: $URL/key/$PREFIX$FIRST"
echo " * Private URL: $URL/key/$PREFIX$FIRST?otp=$SECRET"
COUNT=0
while emc name_show "dpo:$VENDOR:$PREFIX$FIRST:$COUNT" >/dev/null 2>&1
do
let COUNT=COUNT+1
done
echo " * NVS Record: dpo:$VENDOR:$PREFIX$FIRST:$COUNT"
VALUE="Item=$ITEM\nPhoto=$PHOTO\n$OTHERS\nOTP=$OTP"
VALUE=$(echo -e "$VALUE")
echo -n " * Transaction ID: "
emc name_new "dpo:$VENDOR:$PREFIX$FIRST:$COUNT" "$VALUE" $DAYS $ADDRESS
echo
let FIRST=FIRST+1
doneгде URL — веб-адрес развертывания EMC DPO.
Результатом исполнения этого скрипта станут создание NVS записей (если вы сделали всё правильно) с выводом данных в консоль вида:
Creating serial SN-55001:
* SECRET: maifeB32
* OTP: bb680a8bcae3e5be23f3c9ed4d3d0e97d42cebe561f53a5a7502e2d150a937fb
* Public URL: http://emcdpo.info/dpo/key/SN-55001
* Private URL: http://emcdpo.info/dpo/key/SN-55001?otp=maifeB32
* NVS Record: dpo:Your Company:SN-55001:0
* Transaction ID: 7e1c5a131887a08971225790047bf9e8asq3ca5f947beb9ba0ced6541931939fСохраняем Public URL и Private URL для каждого отдельного серийного номера, делаем из них QR-коды и размещаем их: один на внешней стороне коробки, а второй, соответственно, — внутри коробки под защитной пленкой.
3. Развертывание веб-приложения EMC DPO
Устанавливаем зависимости и активируем нужные модули:
apt install curl git apache2 libapache2-mod-php php-xml
a2enmod rewriteКлонируем git-репозитарий в /var/www:
cd /var/www
git clone https://github.com/Emercoin/emcdpoУстанавливаем composer и его компоненты:
cd /var/www/emcdpo/engine
curl -sS https://getcomposer.org/installer | php
php composer.phar install --prefer-distНазначаем владельцем папки emcdpo пользователя www-data (или любого другого, из-под которого веб-сервер будет исполнять код):
chown -R www-data:www-data /var/www/emcdpo/engineПрописываем наши параметры в файл /var/www/emcdpo/engine/src/settings.php:
// General Settings
CONST DPO_VENDOR = 'Your Company';
CONST SALT = 'johNah2koosie3iG';
CONST NVS_DAYS = 730;
CONST ALLOWED_UPDATES = 2;
CONST SEARCH_DEPTH = 10;
// Emercoin RPC Settings
CONST RPC_TYPE = "https";
CONST RPC_USERNAME = "emccoinrpc";
CONST RPC_PASSWORD = "RahRoh6ca8chaf6naji9dfaazaeghaidiLooyePi4aeQuah9lai4Eij5gotoocha";
CONST RPC_HOST = "localhost";
CONST RPC_PORT = '6662';Учетные данные для подключения к Emercoin RPC можно посмотреть в файле /etc/emercoin/emercoin.conf
Далее, настраиваем веб-сервер. Для этого, создаем конфигурационный файл Apache /etc/apache2/sites-available/emcdpo.conf, пример которого:
Alias /dpo /var/www/emcdpo/engine/web
<Directory /var/www/emcdpo/engine/web>
Options -MultiViews
RewriteEngine On
RewriteBase /dpo
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^ index.php [QSA,L]
</Directory>Активируем конфигурацию и перезапускаем Apache:
a2ensite emcdpo
systemctl restart apache2Теперь EMC DPO доступен по адресу:
http://YOURHOSTNAME/dpo и готов к использованию.Комментарии (90)
ivlis
28.02.2017 07:29+1Это в каждую коробку вкладывать индивидуально напечатанный QR код, да ещё и печатать другой на коробке? Может для часов за $3000 это и оправдано, но что-то сомнительно чтобы даже производителям телефонов это было выгодно.
Xalium
28.02.2017 10:50И чем этот QR-код будет отличаться от серийника? Серийники же печатают на многих товарах и ничего — не развалились.
У того же Jakemy (китайский производитель отверток и т.п.) печатает на каждом наборе, даже самом дешевом, серийник, который надо стирать и вводить на сайте для проверки.
Temmokan
28.02.2017 07:51+1Понятно, что при наличии уникального идентификатора товара и достаточно распространённого блокчейна подобный «электронный нотариат» может быть эффективным способом распознавания подделок и т.п.
При использовании «нотариального» сервиса, у которого уже есть достаточно высокоуровневый API, например Proof of Existence, операция «внесения в историю» потребует куда меньше установок ПО и возни в целом.
Один существенный вопрос останется: как добиться того, чтобы покупатель обязательно зарегистрировал вновь купленный товар (не очень важно пока, в чём именно)? Иначе вся затея слегка теряет смысл.
snvakula
28.02.2017 10:14Это уже чистый маркетинг. Думаю, маркетологи справятся с этим.
Лично я, купив бы дорогие часы и имея возможность закрепить их за собой пожизненно в блокчейне, обязательно бы это сделал.
Pakos
28.02.2017 10:00Что входит в QR-код? если URL, то можно сделать сайт emcdpo.com и разместить там статичную страничку «Тзис из орижинал товар, Ляо гарантирует» и какой процент разберётся что он поддельный?
Если только id для блокчейна, то нужно убедить покупателя помимо регистрации товара ещё и приложение себе поставить (и чтобы оно было на нужной платформе).snvakula
28.02.2017 10:15emcdpo.com и прочие непонятные сайты — да, конечно.
Но что вы скажете, если dpo будет размещено, скажем, на сайте dpo.rolex.com?Pakos
28.02.2017 13:54dpo.roleks.com?
Многие покупатели подделок не замечают и более явные вещи. Делать систему защиты полутора гиков, которые и так не попадутся?
014
28.02.2017 10:16В этой схеме, записи с серийными номерами подписываются корневой записью производителя?
snvakula
28.02.2017 10:18Вообще, есть 2 механизма:
1) подписывать, как вы говорите, корневой записью производителя
2) создавать записи с серийниками с того же адреса, с которого была создана корневая запись производителя.
В примере выше расписан 2й вариант.
YaMishar
28.02.2017 10:18+2Не совсем понял, как это работает в случае скажем, когда подделка скопирована с оригинального товара, но оригинальный ещё не был активирован.
То бишь мошенники покупают ролекс за 10К, откладывают в сторонку и дальше через магазины впаривают подделку с тем же QR кодом с коробки со скидкой 50%. За 50% они быстро распродадут свои подделки — и тут уж хоть обсканируйся.snvakula
28.02.2017 10:19Как вы считаете, какие шансы, что кто-то из этиз 10к активирует товар?
Очень высокие.
Тогда остальные будут в пролете.YaMishar
28.02.2017 10:42+1Вы не поняли.
Я (мошенник, хотя на самом деле нет). Покупаю в Цюрихе оригинальные часы за 10К.
Далее на заводе в Китаее изготавливаю 100 копий с внешним кодом — точно таким же.
Коробка — не отличишь от подделки.
Клиенты сканируют, удостоверяются, видят, что код не активирован (а он не активирован, ибо оригинальные часы лежат у меня в сейфе). Покупают (я даю скидку для скорости реализации). И едут домой, где пытаются активизировать. И там только первый может активизировать. Остальные — в пролёте. И мы возвращаемся в ту же ситуацию что сейчас.
snvakula
28.02.2017 10:49Вот именно! Как-только первый активирует (неважно оригинал это или какая-то одна единица из подделок) — остальные копии уже будут идентифицироваться как подделки.
YaMishar
28.02.2017 10:54+3И что? Они уже куплены.
Я читаю первый абзац статьи:
Представим ситуацию: вы приходите в магазин, скажем, дорогих часов, покупаете понравившийся товар, с нетерпением идете домой, чтобы открыть заветную коробочку, открываете ее, и, вдруг, выясняется, что купленный товар — дешевая подделка.
И где защита от этой ситуации?snvakula
28.02.2017 11:17Защита в том, что товар не успеет продаться, прежде, чем его активируют.
YaMishar
28.02.2017 11:31+1Так его не активируют.
Вот 101 товар лежит. 1 оригинал, 100 подделок.
Оригинал не продаётся, а лежит себе в коробочке.
100 подделок спокойно проходя проверку активации (её нет), но не активируются, потому как внутренний код неправильный.
Чем отличается от ситуации, что есть 100 подделок, которые просто не проходят банальную проверку специалистом?
Ответ — только наличием необходимости купить 1 оригинал и заныкать его.
При этом возникает ложное ощущение большей безопасности за счёт новых технологий, но он именно что ложное.snvakula
28.02.2017 13:43Нужно указывать, что нужно проверять комплектацию QR-кодов
gimntut
28.02.2017 14:11Я сделал липовый сайт (abibas.ru или adidas.pro) по продаже товаров не программистам. На весь липовый товар я леплю свой QR, по которому весь товар валиден, потому что проверяется на моём же официальном сайте.
PROFIT.
Temmokan
01.03.2017 07:4285-е правило Тёмного Властелина: Я не прибегну к плану, заключительная часть которого чудовищно сложна, наподобие «Расположить 12 Камней Силы на священном алтаре и активировать медальон в момент полного затмения». Скорее там будет что-то наподобие «Нажать кнопку».
Это к тому, что маркетолог вырвет все волосы на том, чем думает, прежде чем придумает способ нагрузить покупателя ещё одним действием. Да ещё таким, где требуется ощутимый IQ.
Когда товар для начала использования должен выйти в Сеть — такую задачу ещё можно как-то надеяться решить. В остальных случаях заклинание «это работа для маркетологов» можно считать утратившим силу.
014
28.02.2017 11:04Если по вашей схеме мошенники купят оригинальный ролекс, скопируют с него Qr коды на подделку. Подделку продадут. Владелец подделки зарегистрирует свой ролекс. Встает вопрос что делать с оригинальным ролексом? Ведь он уже числится по БЧ как зарегистрированный. Через магазин его уже не продашь, так как он по верхнему Qr коду будет уже «биться» как зарегистрированный. А предполагаемый покупатель увидев что часы которые ему пытаются продать числятся как зарегистрированные, с большой долей вероятности не купит их, да и на будущее будет обходить такой магазин стороной. Профит мошенников при такой схеме весьма сомнителен.
Что можно добавить в схему? Если продавец при продаже делал бы отметку в NVS записи этого товара о том что товар продан, такого то числа, в таком то магазине. То схема с покупкой оригинального ролекса для копирования Qr кодов на подделку уже была бы скомпрометирована. Ведь покупатель при покупке может по внешнему Qr проверить товар на то что он ни где не продан.YaMishar
28.02.2017 11:13Они скопируют внешний код (который используется для проверки), однако внутренний (который используется для регистрации) опустят. Или для красоты напечатают липовый.
Получается ровна та же система как и сейчас.
В магазине посмотрел — вроде всё ок.
Принёс домой — барохло 20ти долларовое.
Да, можно пойти в магазин и требовать возврата денег. Ровно как и сейчас.
snvakula
28.02.2017 11:20На самом деле, если второго QR-кода не будет — то это уже можно считать подделкой.
Такой механизм будет очень эффективен только совместно с маркетинговой поддержкой производителя.
014
28.02.2017 11:24+1Липовый внутренний код? Это только для торговли с рук. Если Вы будете в магазине продавать подделку под какой то бренд с липовыми кодами, долго ваш магазин не проработает. Учитывая что первый же покупатель может обнаружить подлог. А учитывая нынешнюю скорость распространения информации, об этом магазине будет знать вся округа. Да, и стоит просто сообщить представителю этого бренда, что в таком то маге торгуют подделками, производитель бренда сделает все что бы прикрыть этот «рассадник» как можно быстрее.
Не надо воспринимать эту схему как 100% абсолютную, вселенскую гарантию того что вы никогда, нигде, ни при каких обстоятельства не купите подделку. Это схема призвана противодействовать подделкам, и весьма эффективно, пускай не 100%, но по сравнению с той ситуацией которая сложилась с подделками на сегодняшний дел, эта технология ПРОРЫВ.YaMishar
28.02.2017 11:57Ещё раз обращаю внимание, что автор в статье борется с ситуацией
Представим ситуацию: вы приходите в магазин, скажем, дорогих часов, покупаете понравившийся товар, с нетерпением идете домой, чтобы открыть заветную коробочку, открываете ее, и, вдруг, выясняется, что купленный товар — дешевая подделка.
То есть уже сейчас есть какие-то магазины, которые торгуют подделками. И только дома покупатель может определить то, что это подделка.
Я лишь показал, что введение предложенного алгоритма НИКАК не помогает в этой ситуации, кроме как заставит магазин иметь одну шуку оригинальных часов.snvakula
28.02.2017 11:59Липовый код не прочитается на официальном сайте dpo производителя
YaMishar
28.02.2017 12:08Я не понимаю, почему?
Ещё раз — у вас заявлено 2 кода. Один внешний, второй где-то внутри упаковки.
В магазине продавец имеет досту к внешнему.
По внешнему проверяется — был ли этот код зарегистрирован или нет. Сама регистрация производится по внутреннему.
Я правильно понял концепцию?
Если да — внешний является полной копией оригинального и потому проходит проверку, ибо оригинальный не активировался. Зато внутренний не активируется (но уже дома).
Исли нет — поясните пожалуйста.
Pakos
28.02.2017 14:03Зато прочитается на поддельном сайте dpo.rolex-watch.com, оригинальный код снаружи упаковки прочитается и на оригинальном сайте. Тот, кто не смог зарегистрировать по внутреннему липовому коду (почему не смог? rolex-watch отлично регистрирует любой код как в первый раз) не смог испортить запись об оригинальном коде и оказывается ровно в той же ситуации с подделкой как и без кода. По блокчейн проверить? В магазине? Много людей так сделают? А из покупающих Ролекс? А из покупающих Ролекс в сомнительных местах?
014
28.02.2017 12:13Автор борется не с ситуацией, автор предлагает весьма эффективный метод борьбы с подделками.
Для исключения ситуации которая Вас беспокоит, я предложил еще более сузить рамки:
«Что можно добавить в схему? Если продавец при продаже делал бы отметку в NVS записи этого товара о том что товар продан, такого то числа, в таком то магазине. То схема с покупкой оригинального ролекса для копирования Qr кодов на подделку уже была бы скомпрометирована. Ведь покупатель при покупке может по внешнему Qr проверить товар на то что он ни где не продан.»YaMishar
28.02.2017 12:29Автор сам в качестве примера предложил ситуацию, в которой продавец нечестен, а покупатель может обнаружить подделку только после совершения сделки.
В такой ситуации предложенный механизм работать не будет.
Другую ситуацию я себе представить не могу. Качественно выгравированный серийник на стекле, который можно разглядеть в лупу и прочие «водянные знаки» — уже сейчас существуют.
snvakula
28.02.2017 11:20Какие шансы на то, что товар, с которого была выполнена подделка, вернется в магазин? Близкая к нулю.
FatLamer
28.02.2017 10:19| Так, у них не получится выпустить неучтенный «левый» товар — всё будет публично и открыто.
Это идея скорее для ФНС, чем для покупателя. Хотя чем она отличается от идеологии ЕГАИС — непонятно.snvakula
28.02.2017 10:22Не обязательно.
Здесь идея доказать покупателям что-либо.
Например: пусть это будут не обязательно часы, а, скажем, виноградники.
Всем известна площадь земледелий (ее можно указать в главной записи вендора, которая легко проверяется).
Допустим, мы знаем, что с 1 Га виноградников можно сделать N литров вина. Но производитель выпускает N*100 литров вина. Вопрос: откуда он взял столько сырья, если указывает, что вино именно из этого виноградника? Для этого нужна прозрачность блокчейна, чтобы доказать, что именно столько вина было произведено именно из этого виноградника.YaMishar
28.02.2017 10:52С виноградниками вообще неясно.
Сколько покупателей будет проверять каждую бутылку? 5%?
Я вот (активный потребитель) — не буду. Я доверяю производителям. Или не доверяю.
И в принципе мне не важно, что в какой-то особый год производитель закупил материал на соседнем винограднике, ибо хозяин соседнего виноградника не готов был в этот конкретный год заниматься вином по личным причинам.
Вот для сильно ограниченных партий, когда заявлено, что вино выпускается скажем в 100 бутылках, там это могло бы сработать. Но там другие способы защиты. Да и не для массового рынка это.snvakula
28.02.2017 11:25Никто не говорит о дешевом вине, которое непонятно где производится и непонятно у кого скупается сырье. Речь об элитных дорогих сортах. Или о любом другом продукте, клиентам которых важно знать не обманывают ли их производители.
YaMishar
28.02.2017 12:02Между «дешёвым вином, которое непонятно где производится» и «Penfolds Bin 620» есть ещё множество вин, которые никак нельзя назвать ширпотребом (20-500 долларов за бутылку).
Элитные вина же имеют сертификаты происхождения, сертификаты, которые подтверждают условия хранения на всех этапах на всех шагах перепродажи. И тут ваша технология никак (на мой взгляд) не помогает.snvakula
28.02.2017 12:05Технически, сертификатов можно напечатать сколь угодно штук.
YaMishar
28.02.2017 14:06Цитирую вас же:
Распаковываете и видите внутри коробки другой QR-код, скрытый за светонепроницаемой защитной пленкой с сопроводительной надписью что-то вроде «отсканируй меня для активации товара».
Ну проверили вы в магазине, что за светонепроницаемой плёнкой что-то есть. И дальше приходите домой и проверяете, а там — дуля нарисована. Или левый код. А может между событиями прошёл месяц (вы подарок покупаете другу на юбтлей)?
Pakos
28.02.2017 14:11Технически можно и левого производителя в блокчейн внести, печатать от него внешние коды, а внутрениие — левые. покупатели даже не смогут оставить отзыв, зато с нормальных кодов к тем же товарам можно наклепать фальшивых отзывов over 9000.
YaMishar — не всегда защищает, мы делаем копию вещи вместе с кодом и продаём троим, каждый видит что номер бьётся у производителя. С блокчейном тоже можно, если мы не подтверждаем личность владельца через блокчейн, но если уж квартиры умудряются дважды продать при всех мерах защиты документов, то тут ещё проще.YaMishar
28.02.2017 14:16Если это ответ на условный GUID, то:
мы пробили на сайте поставщика и он показал, что товар ушёл в таку-то страну, такому-то дистрибютору/дилеру…
Тут нет плюсов по сравнению с наклейкой за исключением того, что наклейку можно напечатать на 100 долларовом принтере, а произвести гравировку сложнее.
Ну и гравировка не отэемлема от самого продукта. А то на наклейке написано, что телефон имеет топовую конфигурацию, а в реале — нет.
А самое глевное мы тут же регистрируем GUID на сайте производителя.
YaMishar
28.02.2017 13:55Кстати, вот если исключить необходимость регистрации дома, а оставить это прямо в магазине, то всё складывается. Но тогда зачем ваша технология?
Вот и сейчас я могу пробить VIN номер или IMEI телефона на сайте производителя.
Есть ещё вопрос — а почему вы выбрасываете б/у вещи из рассмотрения? Многие дорогие предметы (часы, телефоны, даже вина) могут перепродаваться. И вот тут как раз интересно прослеживать историю. Тут блокчейн мог бы помочь, а вовсе не в случае продажи нового товара, где достаточно условно GUID-а напечатанного на коробке или самом изделии. Уникальный номер однозначно защищает от подделки, если бьётся на сайте производителя.
Shtucer
Я понял, что установить этот блокчейн очень просто. Но как защитить товар от подделки — нет.
Например:
а можно несколько? А если да, то чьей верить? А если нельзя, то почему нельзя?
snvakula
Запись о вендоре может быть только одна на каждый сайт. Она прописывается в конфиг сайта в settings.php — ей и будет верить сайт. А товаров может быть сколько угодно.
Shtucer
А что мешает широкоизвестному дядюшке Ляо с Малой Арнаутской сделать себе сайт с settings.php, в котором прописан красивый dpo? То есть я хочу сказать, что я не могу понять, где в этой схеме моя уверенность в подлинности товара? Много букв про установку какого-то софта. И мало слов на тему, задекларированной в заголовке.
snvakula
Идея в том, чтобы компания-производитель разместила emcdpo в своей доменной зоне и объявила какой записи о вендоре верить. Тогда, попав на сайт, скажем, dpo.rolex.com, ни у кого не возникнет сомнений, что это именно Rolex. А зная корневую NVS запись вендора, можно получить информацию об изделиях напрямую из блокчейна в сыром виде. Причем, обо всех изделиях сразу, если угодно.
Shtucer
Ну, почему вы мне это рассказываете в комментариях, а не в самой статье? Там-то про все эти доменные хитрости (у меня тут, кстати, в голове всплыла рыба… то есть фишинг) ни слова. Только: ткнул туда, увидел это. А с такими пунктами это может быть любой продукт поддельный ли он, или не очень. Или вы мне в очередном комментарии расскажите о механизмах доверия блокчейна производителю, который регистрирует свои данные, и так мы, наконец, соберем статью о защите от подделок?
lair
Вот вы и получили единую точку отказа.
014
Поясните?
lair
Вся проверка валидности корневой записи вендора (а, значит, и о всех выпущенных изделиях) сводится к проверке его сайта. Нет сайта — нет проверки валидности.
snvakula
Это не так.
Любой может посмотреть записи любого вендора, как в сыром виде в блокчейне, так и настроив EMCDPO у себя на сервере с указанием корневой записи любого вендора. Тогда просмотреть данные вы сможете без проблем, но не изменить их.
lair
Посмотреть — да. А проверить валидность?
snvakula
Да, и проверить валидность, само собой
lair
Эмм. Как проверить валидность корневой записи производителя товара, если сайт этого производителя недоступен?
snvakula
Если вы развернете emcdpo и укажете корневую запись Rolex, то вы сможете валидировать продукты Rolex, т.к. инфо берется из блокчейна, где все записи открыты.
lair
… но откуда мне знать, что корневая запись Rolex валидна?
snvakula
По задумке, ее публикует производитель на своем сайте.
А даже если и нет — то возьмите любой валидный продукт производителя — в нем содержится ссылка на корневую запись.
Например:
если товар имеет запись: dpo:Rolex Corp:SN-326832:0
то ее корневая запись — dpo:Rolex Corp
lair
Замкнутый круг.
Мы как раз и начали с того, что сайт производителя недоступен, и поэтому мы не можем использовать его для проверки корневой записи этого производителя.
Более того, откуда мне знать, что продукт производителя валиден — если я не могу проверить его валидность? — и что на нем оригинальная метка?
snvakula
Это движок. Мы не рассматриваем возможность падения сайта производителя. А если кто хочет собственноручно убедиться — развернет dpo этого вендора на своем сервере и убедится, что запись валидная. Или же просто посмотрит в блокчейн.
lair
Вот с этого и надо было начинать. Я всего лишь указал, что привязка к сайту производителя — точка отказа.
Откуда мы знаем, что запись в блокчейне — валидная?
snvakula
Я об этом уже писал, смотрите выше: нужно знать ли корневую запись вендора, либо какую-то одну запись о легальном товаре
Shtucer
То есть "Как защитить свои товары от подделок" коллапсирует в "установите что-то и, ВЖЖУХ! вы защищены".
snvakula
Вы подменяете понятия. Речь шла не об этом, а о том, как же самостоятельно проверить валидность товара, без участия сайта-производителя.
Shtucer
Я пока не могу подменять понятий, так как не имею понятия как это работает, а объяснить вы не хотите. Потому что для вас, похоже, всё очевидно, а для меня, к сожалению, нет. И в этом суть моего первого комментария была.
snvakula
Всё просто: вы можете проверить подлинность:
1) на сайте dpo производителя
2) в сыром виде в блокчейне
3) развернув на своем сервере emc dpo и настроившись на корневую запись производителя.
014
Такую логику можно распространить на любой сайт. Но тем не менее сайты работают, услуги оказываются. Сайт не управляет кардиостимулятором дедушки Ляо. Ну ляжет сайт, ну поднимут его. Можно зеркала сайта сделать. Схема формирования записей в блокчейне открыта. На худой конец можно самому через обозреватель NVS на сайте Emercoin посмотреть запись своего товара.
Да, а приложение в телефоне тоже откажет вместе с сайтом?
lair
… валидность которого снова нельзя подтвердить.
snvakula
Конечно же, можно
lair
Как?
014
Есть такая штука, называется SSL сертификат, я по ней ориентируюсь когда захожу в онлайн сбербанк.
lair
Как SSL-сертификат может подтвердить, что какой-то сайт является легальным, а не поддельным зеркалом другого сайта, с которым они никак не афиллированы?
014
Вы сможете получить сертификат вот с таким заголовком в адресной строке?
lair
… а неаффилированное со Сбербанком зеркало?
snvakula
тогда это фишинг и нужно смотреть на URL
014
Если подделки таких сайтов будут иметь место, значит нужно на все зеркала ставить сертификаты.
014
Сбербанк, как то существует в мире в котором можно подделать сайт. А потери у сбербанка при действии таких фишиг сайтов куда выше и серьезнее.
На фишинг сайты как правило направляют трояны, трояны пишут, тратят на написание деньги, время, потому что профит от очистки карты лоха очевиден, а профит от перенаправления пользователя на левый сайт где он сможет подтвердить что его подделка оригинальна, около нулевой.
Shtucer
Почему около нулевой? Это как минимум позволит магазину и дальше и больше продавая левак получать выгоду. Выходит даже, что вовсе не обязательно производителю подделки делать какие-то телодвижения в эту сторону. В конце концов, производителей может быть несколько, а продает продукцию один магазин, вот он-то и озаботится всей этой машинерией. Это будет даже удобней, чем проверка серийника на сайте производителя.
014
Расскажите, как Вы подтверждаете валидность сайта habrahabr.ru?
lair
Вообще — никак, меня это мало волнует. Но в общем случае — SSL, конечно.
014
Никто не будет массово лепить поддельные сайты брендов. Профита с этого кот наплакал, а вера в этот сайт будет столь короткая что не окупит затраченных на него средств.
lair
Это суждение из разряда "никто не будет делать подделки". Если для того, чтобы успешно продать подделку, надо слепить поддельный сайт — будут лепить поддельные сайты.
014
Нет прямой зависимости, сделать поддельный сайт == продать подделку.
Почему тогда сейчас мы не наблюдаем массовой подделки сайтов брендов для продажи поддельных товаров. Зайдя на поддельный сайт производителя пользователь мог бы на заказывать задешево подделок. Но этого нет сейчас. Хотя профит от этого прямой — покупка с поддельного сайта поддельного товара. С подделки сайта на котором идет только проверка и регистрация товара профит только косвенный.
Shtucer
Более того, есть товар, есть корневая запись, есть даже возможность его активировать. Но товар — подделка.
snvakula
Этой проблемы нет, когда dpo размещено на сайте-производителе
Shtucer
Хорошо, поясню, что я имею в виду. Производитель подделки размещает на своем сайте вот эти вот все свои dpo, клеит свои куаркоды. Описание, название товара и прочее ничем не отличается от оригинальных.
snvakula
Следует обращать внимание на URL, на который переходите по ссылке из QR-кода. Точно так же, как вы обращаете внимание на него, когда заходите в интернет-банк, скажем.
Shtucer
Скажем, это ничем не отличается от сверки серийного номера на сайте производителя. Но тут ещё хуже. На сайт переход происходит по qr-коду, которому я уже доверяю. Или нет?
snvakula
Вы не на 100% доверяете QR-коду. Нужно еще смотреть куда именно вы переходите. Мне кажется, это очевидно. А если нет — то это уже задача для маркетологов.
А сверка серийного номера — конечно же, ничем не отличается! Кроме одного: есть альтернативный источник для подтверждения подлинности — блокчейн.
Shtucer
То что есть такой источник бог с ним, он не добавляет никакой уверенности. От слова совсем. Но делает немножко приятно, что я могу проконтролировать… а что, собственно? А ничего. На сайте производителя серийник невалиден, а блокчейне он есть. Подделка? Сайт барахлит?
На сайте производителя серийник проходит проверку, в блокчейне его нет. Что такое?
На сайте подделки (нет, не надо сейчас про "следить за URL", мы знаем, что фишинг существует и он работает) есть номер, номер есть и в блокчейне. Прекрасно! Я владею настоящей вещью! Через неделю вещь сломалась. Будь ты проклят производитель дорогих цацок.
Ого, а мы начали с того, что кому-то там репутация дороже денег. Так, как же и кому вот эта вот вся канитель помогает?
snvakula
Это не является проблемой нашего решения, а, скорее, проблемой вендора, если у него так хаотично разбросаны данные