Comments 90
Я понял, что установить этот блокчейн очень просто. Но как защитить товар от подделки — нет.
Например:
Тогда, такую запись можно создать следующей командой:
а можно несколько? А если да, то чьей верить? А если нельзя, то почему нельзя?
А что мешает широкоизвестному дядюшке Ляо с Малой Арнаутской сделать себе сайт с settings.php, в котором прописан красивый dpo? То есть я хочу сказать, что я не могу понять, где в этой схеме моя уверенность в подлинности товара? Много букв про установку какого-то софта. И мало слов на тему, задекларированной в заголовке.
Ну, почему вы мне это рассказываете в комментариях, а не в самой статье? Там-то про все эти доменные хитрости (у меня тут, кстати, в голове всплыла рыба… то есть фишинг) ни слова. Только: ткнул туда, увидел это. А с такими пунктами это может быть любой продукт поддельный ли он, или не очень. Или вы мне в очередном комментарии расскажите о механизмах доверия блокчейна производителю, который регистрирует свои данные, и так мы, наконец, соберем статью о защите от подделок?
Идея в том, чтобы компания-производитель разместила emcdpo в своей доменной зоне и объявила какой записи о вендоре верить. Тогда, попав на сайт, скажем, dpo.rolex.com, ни у кого не возникнет сомнений, что это именно Rolex.
Вот вы и получили единую точку отказа.
Вся проверка валидности корневой записи вендора (а, значит, и о всех выпущенных изделиях) сводится к проверке его сайта. Нет сайта — нет проверки валидности.
Любой может посмотреть записи любого вендора, как в сыром виде в блокчейне, так и настроив EMCDPO у себя на сервере с указанием корневой записи любого вендора. Тогда просмотреть данные вы сможете без проблем, но не изменить их.
Посмотреть — да. А проверить валидность?
Эмм. Как проверить валидность корневой записи производителя товара, если сайт этого производителя недоступен?
… но откуда мне знать, что корневая запись Rolex валидна?
А даже если и нет — то возьмите любой валидный продукт производителя — в нем содержится ссылка на корневую запись.
Например:
если товар имеет запись: dpo:Rolex Corp:SN-326832:0
то ее корневая запись — dpo:Rolex Corp
Замкнутый круг.
Мы как раз и начали с того, что сайт производителя недоступен, и поэтому мы не можем использовать его для проверки корневой записи этого производителя.
Более того, откуда мне знать, что продукт производителя валиден — если я не могу проверить его валидность? — и что на нем оригинальная метка?
Мы не рассматриваем возможность падения сайта производителя.
Вот с этого и надо было начинать. Я всего лишь указал, что привязка к сайту производителя — точка отказа.
Или же просто посмотрит в блокчейн.
Откуда мы знаем, что запись в блокчейне — валидная?
То есть "Как защитить свои товары от подделок" коллапсирует в "установите что-то и, ВЖЖУХ! вы защищены".
Я пока не могу подменять понятий, так как не имею понятия как это работает, а объяснить вы не хотите. Потому что для вас, похоже, всё очевидно, а для меня, к сожалению, нет. И в этом суть моего первого комментария была.
Да, а приложение в телефоне тоже откажет вместе с сайтом?
Можно зеркала сайта сделать.
… валидность которого снова нельзя подтвердить.
Как?
Как SSL-сертификат может подтвердить, что какой-то сайт является легальным, а не поддельным зеркалом другого сайта, с которым они никак не афиллированы?
… а неаффилированное со Сбербанком зеркало?
На фишинг сайты как правило направляют трояны, трояны пишут, тратят на написание деньги, время, потому что профит от очистки карты лоха очевиден, а профит от перенаправления пользователя на левый сайт где он сможет подтвердить что его подделка оригинальна, около нулевой.
Почему около нулевой? Это как минимум позволит магазину и дальше и больше продавая левак получать выгоду. Выходит даже, что вовсе не обязательно производителю подделки делать какие-то телодвижения в эту сторону. В конце концов, производителей может быть несколько, а продает продукцию один магазин, вот он-то и озаботится всей этой машинерией. Это будет даже удобней, чем проверка серийника на сайте производителя.
Вообще — никак, меня это мало волнует. Но в общем случае — SSL, конечно.
Это суждение из разряда "никто не будет делать подделки". Если для того, чтобы успешно продать подделку, надо слепить поддельный сайт — будут лепить поддельные сайты.
Почему тогда сейчас мы не наблюдаем массовой подделки сайтов брендов для продажи поддельных товаров. Зайдя на поддельный сайт производителя пользователь мог бы на заказывать задешево подделок. Но этого нет сейчас. Хотя профит от этого прямой — покупка с поддельного сайта поддельного товара. С подделки сайта на котором идет только проверка и регистрация товара профит только косвенный.
Более того, есть товар, есть корневая запись, есть даже возможность его активировать. Но товар — подделка.
Хорошо, поясню, что я имею в виду. Производитель подделки размещает на своем сайте вот эти вот все свои dpo, клеит свои куаркоды. Описание, название товара и прочее ничем не отличается от оригинальных.
Скажем, это ничем не отличается от сверки серийного номера на сайте производителя. Но тут ещё хуже. На сайт переход происходит по qr-коду, которому я уже доверяю. Или нет?
А сверка серийного номера — конечно же, ничем не отличается! Кроме одного: есть альтернативный источник для подтверждения подлинности — блокчейн.
То что есть такой источник бог с ним, он не добавляет никакой уверенности. От слова совсем. Но делает немножко приятно, что я могу проконтролировать… а что, собственно? А ничего. На сайте производителя серийник невалиден, а блокчейне он есть. Подделка? Сайт барахлит?
На сайте производителя серийник проходит проверку, в блокчейне его нет. Что такое?
На сайте подделки (нет, не надо сейчас про "следить за URL", мы знаем, что фишинг существует и он работает) есть номер, номер есть и в блокчейне. Прекрасно! Я владею настоящей вещью! Через неделю вещь сломалась. Будь ты проклят производитель дорогих цацок.
Ого, а мы начали с того, что кому-то там репутация дороже денег. Так, как же и кому вот эта вот вся канитель помогает?
У того же Jakemy (китайский производитель отверток и т.п.) печатает на каждом наборе, даже самом дешевом, серийник, который надо стирать и вводить на сайте для проверки.
При использовании «нотариального» сервиса, у которого уже есть достаточно высокоуровневый API, например Proof of Existence, операция «внесения в историю» потребует куда меньше установок ПО и возни в целом.
Один существенный вопрос останется: как добиться того, чтобы покупатель обязательно зарегистрировал вновь купленный товар (не очень важно пока, в чём именно)? Иначе вся затея слегка теряет смысл.
Если только id для блокчейна, то нужно убедить покупателя помимо регистрации товара ещё и приложение себе поставить (и чтобы оно было на нужной платформе).
То бишь мошенники покупают ролекс за 10К, откладывают в сторонку и дальше через магазины впаривают подделку с тем же QR кодом с коробки со скидкой 50%. За 50% они быстро распродадут свои подделки — и тут уж хоть обсканируйся.
Очень высокие.
Тогда остальные будут в пролете.
Я (мошенник, хотя на самом деле нет). Покупаю в Цюрихе оригинальные часы за 10К.
Далее на заводе в Китаее изготавливаю 100 копий с внешним кодом — точно таким же.
Коробка — не отличишь от подделки.
Клиенты сканируют, удостоверяются, видят, что код не активирован (а он не активирован, ибо оригинальные часы лежат у меня в сейфе). Покупают (я даю скидку для скорости реализации). И едут домой, где пытаются активизировать. И там только первый может активизировать. Остальные — в пролёте. И мы возвращаемся в ту же ситуацию что сейчас.
Я читаю первый абзац статьи:
Представим ситуацию: вы приходите в магазин, скажем, дорогих часов, покупаете понравившийся товар, с нетерпением идете домой, чтобы открыть заветную коробочку, открываете ее, и, вдруг, выясняется, что купленный товар — дешевая подделка.
И где защита от этой ситуации?
Вот 101 товар лежит. 1 оригинал, 100 подделок.
Оригинал не продаётся, а лежит себе в коробочке.
100 подделок спокойно проходя проверку активации (её нет), но не активируются, потому как внутренний код неправильный.
Чем отличается от ситуации, что есть 100 подделок, которые просто не проходят банальную проверку специалистом?
Ответ — только наличием необходимости купить 1 оригинал и заныкать его.
При этом возникает ложное ощущение большей безопасности за счёт новых технологий, но он именно что ложное.
PROFIT.
Это к тому, что маркетолог вырвет все волосы на том, чем думает, прежде чем придумает способ нагрузить покупателя ещё одним действием. Да ещё таким, где требуется ощутимый IQ.
Когда товар для начала использования должен выйти в Сеть — такую задачу ещё можно как-то надеяться решить. В остальных случаях заклинание «это работа для маркетологов» можно считать утратившим силу.
Что можно добавить в схему? Если продавец при продаже делал бы отметку в NVS записи этого товара о том что товар продан, такого то числа, в таком то магазине. То схема с покупкой оригинального ролекса для копирования Qr кодов на подделку уже была бы скомпрометирована. Ведь покупатель при покупке может по внешнему Qr проверить товар на то что он ни где не продан.
Получается ровна та же система как и сейчас.
В магазине посмотрел — вроде всё ок.
Принёс домой — барохло 20ти долларовое.
Да, можно пойти в магазин и требовать возврата денег. Ровно как и сейчас.
Такой механизм будет очень эффективен только совместно с маркетинговой поддержкой производителя.
Не надо воспринимать эту схему как 100% абсолютную, вселенскую гарантию того что вы никогда, нигде, ни при каких обстоятельства не купите подделку. Это схема призвана противодействовать подделкам, и весьма эффективно, пускай не 100%, но по сравнению с той ситуацией которая сложилась с подделками на сегодняшний дел, эта технология ПРОРЫВ.
Представим ситуацию: вы приходите в магазин, скажем, дорогих часов, покупаете понравившийся товар, с нетерпением идете домой, чтобы открыть заветную коробочку, открываете ее, и, вдруг, выясняется, что купленный товар — дешевая подделка.
То есть уже сейчас есть какие-то магазины, которые торгуют подделками. И только дома покупатель может определить то, что это подделка.
Я лишь показал, что введение предложенного алгоритма НИКАК не помогает в этой ситуации, кроме как заставит магазин иметь одну шуку оригинальных часов.
Ещё раз — у вас заявлено 2 кода. Один внешний, второй где-то внутри упаковки.
В магазине продавец имеет досту к внешнему.
По внешнему проверяется — был ли этот код зарегистрирован или нет. Сама регистрация производится по внутреннему.
Я правильно понял концепцию?
Если да — внешний является полной копией оригинального и потому проходит проверку, ибо оригинальный не активировался. Зато внутренний не активируется (но уже дома).
Исли нет — поясните пожалуйста.
Для исключения ситуации которая Вас беспокоит, я предложил еще более сузить рамки:
«Что можно добавить в схему? Если продавец при продаже делал бы отметку в NVS записи этого товара о том что товар продан, такого то числа, в таком то магазине. То схема с покупкой оригинального ролекса для копирования Qr кодов на подделку уже была бы скомпрометирована. Ведь покупатель при покупке может по внешнему Qr проверить товар на то что он ни где не продан.»
В такой ситуации предложенный механизм работать не будет.
Другую ситуацию я себе представить не могу. Качественно выгравированный серийник на стекле, который можно разглядеть в лупу и прочие «водянные знаки» — уже сейчас существуют.
Это идея скорее для ФНС, чем для покупателя. Хотя чем она отличается от идеологии ЕГАИС — непонятно.
Здесь идея доказать покупателям что-либо.
Например: пусть это будут не обязательно часы, а, скажем, виноградники.
Всем известна площадь земледелий (ее можно указать в главной записи вендора, которая легко проверяется).
Допустим, мы знаем, что с 1 Га виноградников можно сделать N литров вина. Но производитель выпускает N*100 литров вина. Вопрос: откуда он взял столько сырья, если указывает, что вино именно из этого виноградника? Для этого нужна прозрачность блокчейна, чтобы доказать, что именно столько вина было произведено именно из этого виноградника.
Сколько покупателей будет проверять каждую бутылку? 5%?
Я вот (активный потребитель) — не буду. Я доверяю производителям. Или не доверяю.
И в принципе мне не важно, что в какой-то особый год производитель закупил материал на соседнем винограднике, ибо хозяин соседнего виноградника не готов был в этот конкретный год заниматься вином по личным причинам.
Вот для сильно ограниченных партий, когда заявлено, что вино выпускается скажем в 100 бутылках, там это могло бы сработать. Но там другие способы защиты. Да и не для массового рынка это.
Элитные вина же имеют сертификаты происхождения, сертификаты, которые подтверждают условия хранения на всех этапах на всех шагах перепродажи. И тут ваша технология никак (на мой взгляд) не помогает.
Распаковываете и видите внутри коробки другой QR-код, скрытый за светонепроницаемой защитной пленкой с сопроводительной надписью что-то вроде «отсканируй меня для активации товара».
Ну проверили вы в магазине, что за светонепроницаемой плёнкой что-то есть. И дальше приходите домой и проверяете, а там — дуля нарисована. Или левый код. А может между событиями прошёл месяц (вы подарок покупаете другу на юбтлей)?
YaMishar — не всегда защищает, мы делаем копию вещи вместе с кодом и продаём троим, каждый видит что номер бьётся у производителя. С блокчейном тоже можно, если мы не подтверждаем личность владельца через блокчейн, но если уж квартиры умудряются дважды продать при всех мерах защиты документов, то тут ещё проще.
мы пробили на сайте поставщика и он показал, что товар ушёл в таку-то страну, такому-то дистрибютору/дилеру…
Тут нет плюсов по сравнению с наклейкой за исключением того, что наклейку можно напечатать на 100 долларовом принтере, а произвести гравировку сложнее.
Ну и гравировка не отэемлема от самого продукта. А то на наклейке написано, что телефон имеет топовую конфигурацию, а в реале — нет.
А самое глевное мы тут же регистрируем GUID на сайте производителя.
Вот и сейчас я могу пробить VIN номер или IMEI телефона на сайте производителя.
Есть ещё вопрос — а почему вы выбрасываете б/у вещи из рассмотрения? Многие дорогие предметы (часы, телефоны, даже вина) могут перепродаваться. И вот тут как раз интересно прослеживать историю. Тут блокчейн мог бы помочь, а вовсе не в случае продажи нового товара, где достаточно условно GUID-а напечатанного на коробке или самом изделии. Уникальный номер однозначно защищает от подделки, если бьётся на сайте производителя.
EMC DPO: как защитить свои товары от подделок