Pull to refresh

Comments 90

Я понял, что установить этот блокчейн очень просто. Но как защитить товар от подделки — нет.
Например:


Тогда, такую запись можно создать следующей командой:

а можно несколько? А если да, то чьей верить? А если нельзя, то почему нельзя?

Запись о вендоре может быть только одна на каждый сайт. Она прописывается в конфиг сайта в settings.php — ей и будет верить сайт. А товаров может быть сколько угодно.

А что мешает широкоизвестному дядюшке Ляо с Малой Арнаутской сделать себе сайт с settings.php, в котором прописан красивый dpo? То есть я хочу сказать, что я не могу понять, где в этой схеме моя уверенность в подлинности товара? Много букв про установку какого-то софта. И мало слов на тему, задекларированной в заголовке.

Идея в том, чтобы компания-производитель разместила emcdpo в своей доменной зоне и объявила какой записи о вендоре верить. Тогда, попав на сайт, скажем, dpo.rolex.com, ни у кого не возникнет сомнений, что это именно Rolex. А зная корневую NVS запись вендора, можно получить информацию об изделиях напрямую из блокчейна в сыром виде. Причем, обо всех изделиях сразу, если угодно.

Ну, почему вы мне это рассказываете в комментариях, а не в самой статье? Там-то про все эти доменные хитрости (у меня тут, кстати, в голове всплыла рыба… то есть фишинг) ни слова. Только: ткнул туда, увидел это. А с такими пунктами это может быть любой продукт поддельный ли он, или не очень. Или вы мне в очередном комментарии расскажите о механизмах доверия блокчейна производителю, который регистрирует свои данные, и так мы, наконец, соберем статью о защите от подделок?

Идея в том, чтобы компания-производитель разместила emcdpo в своей доменной зоне и объявила какой записи о вендоре верить. Тогда, попав на сайт, скажем, dpo.rolex.com, ни у кого не возникнет сомнений, что это именно Rolex.

Вот вы и получили единую точку отказа.

Вся проверка валидности корневой записи вендора (а, значит, и о всех выпущенных изделиях) сводится к проверке его сайта. Нет сайта — нет проверки валидности.

Это не так.
Любой может посмотреть записи любого вендора, как в сыром виде в блокчейне, так и настроив EMCDPO у себя на сервере с указанием корневой записи любого вендора. Тогда просмотреть данные вы сможете без проблем, но не изменить их.

Посмотреть — да. А проверить валидность?

Да, и проверить валидность, само собой

Эмм. Как проверить валидность корневой записи производителя товара, если сайт этого производителя недоступен?

Если вы развернете emcdpo и укажете корневую запись Rolex, то вы сможете валидировать продукты Rolex, т.к. инфо берется из блокчейна, где все записи открыты.

… но откуда мне знать, что корневая запись Rolex валидна?

По задумке, ее публикует производитель на своем сайте.
А даже если и нет — то возьмите любой валидный продукт производителя — в нем содержится ссылка на корневую запись.

Например:
если товар имеет запись: dpo:Rolex Corp:SN-326832:0
то ее корневая запись — dpo:Rolex Corp

Замкнутый круг.


Мы как раз и начали с того, что сайт производителя недоступен, и поэтому мы не можем использовать его для проверки корневой записи этого производителя.


Более того, откуда мне знать, что продукт производителя валиден — если я не могу проверить его валидность? — и что на нем оригинальная метка?

Это движок. Мы не рассматриваем возможность падения сайта производителя. А если кто хочет собственноручно убедиться — развернет dpo этого вендора на своем сервере и убедится, что запись валидная. Или же просто посмотрит в блокчейн.
Мы не рассматриваем возможность падения сайта производителя.

Вот с этого и надо было начинать. Я всего лишь указал, что привязка к сайту производителя — точка отказа.


Или же просто посмотрит в блокчейн.

Откуда мы знаем, что запись в блокчейне — валидная?

Я об этом уже писал, смотрите выше: нужно знать ли корневую запись вендора, либо какую-то одну запись о легальном товаре

То есть "Как защитить свои товары от подделок" коллапсирует в "установите что-то и, ВЖЖУХ! вы защищены".

Вы подменяете понятия. Речь шла не об этом, а о том, как же самостоятельно проверить валидность товара, без участия сайта-производителя.

Я пока не могу подменять понятий, так как не имею понятия как это работает, а объяснить вы не хотите. Потому что для вас, похоже, всё очевидно, а для меня, к сожалению, нет. И в этом суть моего первого комментария была.

Всё просто: вы можете проверить подлинность:
1) на сайте dpo производителя
2) в сыром виде в блокчейне
3) развернув на своем сервере emc dpo и настроившись на корневую запись производителя.
Такую логику можно распространить на любой сайт. Но тем не менее сайты работают, услуги оказываются. Сайт не управляет кардиостимулятором дедушки Ляо. Ну ляжет сайт, ну поднимут его. Можно зеркала сайта сделать. Схема формирования записей в блокчейне открыта. На худой конец можно самому через обозреватель NVS на сайте Emercoin посмотреть запись своего товара.
Да, а приложение в телефоне тоже откажет вместе с сайтом?
Можно зеркала сайта сделать.

… валидность которого снова нельзя подтвердить.

Есть такая штука, называется SSL сертификат, я по ней ориентируюсь когда захожу в онлайн сбербанк.

Как SSL-сертификат может подтвердить, что какой-то сайт является легальным, а не поддельным зеркалом другого сайта, с которым они никак не афиллированы?

Вы сможете получить сертификат вот с таким заголовком в адресной строке?
image

… а неаффилированное со Сбербанком зеркало?

тогда это фишинг и нужно смотреть на URL
Если подделки таких сайтов будут иметь место, значит нужно на все зеркала ставить сертификаты.

Сбербанк, как то существует в мире в котором можно подделать сайт. А потери у сбербанка при действии таких фишиг сайтов куда выше и серьезнее.
На фишинг сайты как правило направляют трояны, трояны пишут, тратят на написание деньги, время, потому что профит от очистки карты лоха очевиден, а профит от перенаправления пользователя на левый сайт где он сможет подтвердить что его подделка оригинальна, около нулевой.

Почему около нулевой? Это как минимум позволит магазину и дальше и больше продавая левак получать выгоду. Выходит даже, что вовсе не обязательно производителю подделки делать какие-то телодвижения в эту сторону. В конце концов, производителей может быть несколько, а продает продукцию один магазин, вот он-то и озаботится всей этой машинерией. Это будет даже удобней, чем проверка серийника на сайте производителя.

Расскажите, как Вы подтверждаете валидность сайта habrahabr.ru?

Вообще — никак, меня это мало волнует. Но в общем случае — SSL, конечно.

Никто не будет массово лепить поддельные сайты брендов. Профита с этого кот наплакал, а вера в этот сайт будет столь короткая что не окупит затраченных на него средств.

Это суждение из разряда "никто не будет делать подделки". Если для того, чтобы успешно продать подделку, надо слепить поддельный сайт — будут лепить поддельные сайты.

Нет прямой зависимости, сделать поддельный сайт == продать подделку.
Почему тогда сейчас мы не наблюдаем массовой подделки сайтов брендов для продажи поддельных товаров. Зайдя на поддельный сайт производителя пользователь мог бы на заказывать задешево подделок. Но этого нет сейчас. Хотя профит от этого прямой — покупка с поддельного сайта поддельного товара. С подделки сайта на котором идет только проверка и регистрация товара профит только косвенный.

Более того, есть товар, есть корневая запись, есть даже возможность его активировать. Но товар — подделка.

Этой проблемы нет, когда dpo размещено на сайте-производителе

Хорошо, поясню, что я имею в виду. Производитель подделки размещает на своем сайте вот эти вот все свои dpo, клеит свои куаркоды. Описание, название товара и прочее ничем не отличается от оригинальных.

Следует обращать внимание на URL, на который переходите по ссылке из QR-кода. Точно так же, как вы обращаете внимание на него, когда заходите в интернет-банк, скажем.

Скажем, это ничем не отличается от сверки серийного номера на сайте производителя. Но тут ещё хуже. На сайт переход происходит по qr-коду, которому я уже доверяю. Или нет?

Вы не на 100% доверяете QR-коду. Нужно еще смотреть куда именно вы переходите. Мне кажется, это очевидно. А если нет — то это уже задача для маркетологов.

А сверка серийного номера — конечно же, ничем не отличается! Кроме одного: есть альтернативный источник для подтверждения подлинности — блокчейн.

То что есть такой источник бог с ним, он не добавляет никакой уверенности. От слова совсем. Но делает немножко приятно, что я могу проконтролировать… а что, собственно? А ничего. На сайте производителя серийник невалиден, а блокчейне он есть. Подделка? Сайт барахлит?
На сайте производителя серийник проходит проверку, в блокчейне его нет. Что такое?
На сайте подделки (нет, не надо сейчас про "следить за URL", мы знаем, что фишинг существует и он работает) есть номер, номер есть и в блокчейне. Прекрасно! Я владею настоящей вещью! Через неделю вещь сломалась. Будь ты проклят производитель дорогих цацок.
Ого, а мы начали с того, что кому-то там репутация дороже денег. Так, как же и кому вот эта вот вся канитель помогает?

Это не является проблемой нашего решения, а, скорее, проблемой вендора, если у него так хаотично разбросаны данные
Это в каждую коробку вкладывать индивидуально напечатанный QR код, да ещё и печатать другой на коробке? Может для часов за $3000 это и оправдано, но что-то сомнительно чтобы даже производителям телефонов это было выгодно.
Это можно сделать, например, в виде наклеел за 1/10 цента.
И чем этот QR-код будет отличаться от серийника? Серийники же печатают на многих товарах и ничего — не развалились.
У того же Jakemy (китайский производитель отверток и т.п.) печатает на каждом наборе, даже самом дешевом, серийник, который надо стирать и вводить на сайте для проверки.
В дешевые чипсы вкладывают магнитики, вроде не в убыток получается.
Понятно, что при наличии уникального идентификатора товара и достаточно распространённого блокчейна подобный «электронный нотариат» может быть эффективным способом распознавания подделок и т.п.

При использовании «нотариального» сервиса, у которого уже есть достаточно высокоуровневый API, например Proof of Existence, операция «внесения в историю» потребует куда меньше установок ПО и возни в целом.

Один существенный вопрос останется: как добиться того, чтобы покупатель обязательно зарегистрировал вновь купленный товар (не очень важно пока, в чём именно)? Иначе вся затея слегка теряет смысл.
Это уже чистый маркетинг. Думаю, маркетологи справятся с этим.
Лично я, купив бы дорогие часы и имея возможность закрепить их за собой пожизненно в блокчейне, обязательно бы это сделал.
Что входит в QR-код? если URL, то можно сделать сайт emcdpo.com и разместить там статичную страничку «Тзис из орижинал товар, Ляо гарантирует» и какой процент разберётся что он поддельный?
Если только id для блокчейна, то нужно убедить покупателя помимо регистрации товара ещё и приложение себе поставить (и чтобы оно было на нужной платформе).
emcdpo.com и прочие непонятные сайты — да, конечно.
Но что вы скажете, если dpo будет размещено, скажем, на сайте dpo.rolex.com?
dpo.roleks.com?
Многие покупатели подделок не замечают и более явные вещи. Делать систему защиты полутора гиков, которые и так не попадутся?
В этой схеме, записи с серийными номерами подписываются корневой записью производителя?
Вообще, есть 2 механизма:
1) подписывать, как вы говорите, корневой записью производителя
2) создавать записи с серийниками с того же адреса, с которого была создана корневая запись производителя.

В примере выше расписан 2й вариант.
Не совсем понял, как это работает в случае скажем, когда подделка скопирована с оригинального товара, но оригинальный ещё не был активирован.
То бишь мошенники покупают ролекс за 10К, откладывают в сторонку и дальше через магазины впаривают подделку с тем же QR кодом с коробки со скидкой 50%. За 50% они быстро распродадут свои подделки — и тут уж хоть обсканируйся.
Как вы считаете, какие шансы, что кто-то из этиз 10к активирует товар?
Очень высокие.
Тогда остальные будут в пролете.
Вы не поняли.
Я (мошенник, хотя на самом деле нет). Покупаю в Цюрихе оригинальные часы за 10К.
Далее на заводе в Китаее изготавливаю 100 копий с внешним кодом — точно таким же.
Коробка — не отличишь от подделки.
Клиенты сканируют, удостоверяются, видят, что код не активирован (а он не активирован, ибо оригинальные часы лежат у меня в сейфе). Покупают (я даю скидку для скорости реализации). И едут домой, где пытаются активизировать. И там только первый может активизировать. Остальные — в пролёте. И мы возвращаемся в ту же ситуацию что сейчас.

Вот именно! Как-только первый активирует (неважно оригинал это или какая-то одна единица из подделок) — остальные копии уже будут идентифицироваться как подделки.
И что? Они уже куплены.
Я читаю первый абзац статьи:
Представим ситуацию: вы приходите в магазин, скажем, дорогих часов, покупаете понравившийся товар, с нетерпением идете домой, чтобы открыть заветную коробочку, открываете ее, и, вдруг, выясняется, что купленный товар — дешевая подделка.


И где защита от этой ситуации?
Защита в том, что товар не успеет продаться, прежде, чем его активируют.
Так его не активируют.
Вот 101 товар лежит. 1 оригинал, 100 подделок.
Оригинал не продаётся, а лежит себе в коробочке.
100 подделок спокойно проходя проверку активации (её нет), но не активируются, потому как внутренний код неправильный.

Чем отличается от ситуации, что есть 100 подделок, которые просто не проходят банальную проверку специалистом?

Ответ — только наличием необходимости купить 1 оригинал и заныкать его.
При этом возникает ложное ощущение большей безопасности за счёт новых технологий, но он именно что ложное.
Нужно указывать, что нужно проверять комплектацию QR-кодов
Я сделал липовый сайт (abibas.ru или adidas.pro) по продаже товаров не программистам. На весь липовый товар я леплю свой QR, по которому весь товар валиден, потому что проверяется на моём же официальном сайте.
PROFIT.
85-е правило Тёмного Властелина: Я не прибегну к плану, заключительная часть которого чудовищно сложна, наподобие «Расположить 12 Камней Силы на священном алтаре и активировать медальон в момент полного затмения». Скорее там будет что-то наподобие «Нажать кнопку».

Это к тому, что маркетолог вырвет все волосы на том, чем думает, прежде чем придумает способ нагрузить покупателя ещё одним действием. Да ещё таким, где требуется ощутимый IQ.

Когда товар для начала использования должен выйти в Сеть — такую задачу ещё можно как-то надеяться решить. В остальных случаях заклинание «это работа для маркетологов» можно считать утратившим силу.
Если по вашей схеме мошенники купят оригинальный ролекс, скопируют с него Qr коды на подделку. Подделку продадут. Владелец подделки зарегистрирует свой ролекс. Встает вопрос что делать с оригинальным ролексом? Ведь он уже числится по БЧ как зарегистрированный. Через магазин его уже не продашь, так как он по верхнему Qr коду будет уже «биться» как зарегистрированный. А предполагаемый покупатель увидев что часы которые ему пытаются продать числятся как зарегистрированные, с большой долей вероятности не купит их, да и на будущее будет обходить такой магазин стороной. Профит мошенников при такой схеме весьма сомнителен.

Что можно добавить в схему? Если продавец при продаже делал бы отметку в NVS записи этого товара о том что товар продан, такого то числа, в таком то магазине. То схема с покупкой оригинального ролекса для копирования Qr кодов на подделку уже была бы скомпрометирована. Ведь покупатель при покупке может по внешнему Qr проверить товар на то что он ни где не продан.
Они скопируют внешний код (который используется для проверки), однако внутренний (который используется для регистрации) опустят. Или для красоты напечатают липовый.
Получается ровна та же система как и сейчас.
В магазине посмотрел — вроде всё ок.
Принёс домой — барохло 20ти долларовое.

Да, можно пойти в магазин и требовать возврата денег. Ровно как и сейчас.

На самом деле, если второго QR-кода не будет — то это уже можно считать подделкой.
Такой механизм будет очень эффективен только совместно с маркетинговой поддержкой производителя.
Липовый внутренний код? Это только для торговли с рук. Если Вы будете в магазине продавать подделку под какой то бренд с липовыми кодами, долго ваш магазин не проработает. Учитывая что первый же покупатель может обнаружить подлог. А учитывая нынешнюю скорость распространения информации, об этом магазине будет знать вся округа. Да, и стоит просто сообщить представителю этого бренда, что в таком то маге торгуют подделками, производитель бренда сделает все что бы прикрыть этот «рассадник» как можно быстрее.

Не надо воспринимать эту схему как 100% абсолютную, вселенскую гарантию того что вы никогда, нигде, ни при каких обстоятельства не купите подделку. Это схема призвана противодействовать подделкам, и весьма эффективно, пускай не 100%, но по сравнению с той ситуацией которая сложилась с подделками на сегодняшний дел, эта технология ПРОРЫВ.
Ещё раз обращаю внимание, что автор в статье борется с ситуацией
Представим ситуацию: вы приходите в магазин, скажем, дорогих часов, покупаете понравившийся товар, с нетерпением идете домой, чтобы открыть заветную коробочку, открываете ее, и, вдруг, выясняется, что купленный товар — дешевая подделка.


То есть уже сейчас есть какие-то магазины, которые торгуют подделками. И только дома покупатель может определить то, что это подделка.
Я лишь показал, что введение предложенного алгоритма НИКАК не помогает в этой ситуации, кроме как заставит магазин иметь одну шуку оригинальных часов.
Липовый код не прочитается на официальном сайте dpo производителя
Я не понимаю, почему?
Ещё раз — у вас заявлено 2 кода. Один внешний, второй где-то внутри упаковки.
В магазине продавец имеет досту к внешнему.
По внешнему проверяется — был ли этот код зарегистрирован или нет. Сама регистрация производится по внутреннему.
Я правильно понял концепцию?

Если да — внешний является полной копией оригинального и потому проходит проверку, ибо оригинальный не активировался. Зато внутренний не активируется (но уже дома).

Исли нет — поясните пожалуйста.
Зато прочитается на поддельном сайте dpo.rolex-watch.com, оригинальный код снаружи упаковки прочитается и на оригинальном сайте. Тот, кто не смог зарегистрировать по внутреннему липовому коду (почему не смог? rolex-watch отлично регистрирует любой код как в первый раз) не смог испортить запись об оригинальном коде и оказывается ровно в той же ситуации с подделкой как и без кода. По блокчейн проверить? В магазине? Много людей так сделают? А из покупающих Ролекс? А из покупающих Ролекс в сомнительных местах?
Автор борется не с ситуацией, автор предлагает весьма эффективный метод борьбы с подделками.

Для исключения ситуации которая Вас беспокоит, я предложил еще более сузить рамки:

«Что можно добавить в схему? Если продавец при продаже делал бы отметку в NVS записи этого товара о том что товар продан, такого то числа, в таком то магазине. То схема с покупкой оригинального ролекса для копирования Qr кодов на подделку уже была бы скомпрометирована. Ведь покупатель при покупке может по внешнему Qr проверить товар на то что он ни где не продан.»
Автор сам в качестве примера предложил ситуацию, в которой продавец нечестен, а покупатель может обнаружить подделку только после совершения сделки.
В такой ситуации предложенный механизм работать не будет.

Другую ситуацию я себе представить не могу. Качественно выгравированный серийник на стекле, который можно разглядеть в лупу и прочие «водянные знаки» — уже сейчас существуют.
Какие шансы на то, что товар, с которого была выполнена подделка, вернется в магазин? Близкая к нулю.
| Так, у них не получится выпустить неучтенный «левый» товар — всё будет публично и открыто.

Это идея скорее для ФНС, чем для покупателя. Хотя чем она отличается от идеологии ЕГАИС — непонятно.
Не обязательно.
Здесь идея доказать покупателям что-либо.

Например: пусть это будут не обязательно часы, а, скажем, виноградники.
Всем известна площадь земледелий (ее можно указать в главной записи вендора, которая легко проверяется).
Допустим, мы знаем, что с 1 Га виноградников можно сделать N литров вина. Но производитель выпускает N*100 литров вина. Вопрос: откуда он взял столько сырья, если указывает, что вино именно из этого виноградника? Для этого нужна прозрачность блокчейна, чтобы доказать, что именно столько вина было произведено именно из этого виноградника.
С виноградниками вообще неясно.
Сколько покупателей будет проверять каждую бутылку? 5%?
Я вот (активный потребитель) — не буду. Я доверяю производителям. Или не доверяю.
И в принципе мне не важно, что в какой-то особый год производитель закупил материал на соседнем винограднике, ибо хозяин соседнего виноградника не готов был в этот конкретный год заниматься вином по личным причинам.

Вот для сильно ограниченных партий, когда заявлено, что вино выпускается скажем в 100 бутылках, там это могло бы сработать. Но там другие способы защиты. Да и не для массового рынка это.
Никто не говорит о дешевом вине, которое непонятно где производится и непонятно у кого скупается сырье. Речь об элитных дорогих сортах. Или о любом другом продукте, клиентам которых важно знать не обманывают ли их производители.
Между «дешёвым вином, которое непонятно где производится» и «Penfolds Bin 620» есть ещё множество вин, которые никак нельзя назвать ширпотребом (20-500 долларов за бутылку).

Элитные вина же имеют сертификаты происхождения, сертификаты, которые подтверждают условия хранения на всех этапах на всех шагах перепродажи. И тут ваша технология никак (на мой взгляд) не помогает.
Технически, сертификатов можно напечатать сколь угодно штук.
Цитирую вас же:
Распаковываете и видите внутри коробки другой QR-код, скрытый за светонепроницаемой защитной пленкой с сопроводительной надписью что-то вроде «отсканируй меня для активации товара».


Ну проверили вы в магазине, что за светонепроницаемой плёнкой что-то есть. И дальше приходите домой и проверяете, а там — дуля нарисована. Или левый код. А может между событиями прошёл месяц (вы подарок покупаете другу на юбтлей)?
Технически можно и левого производителя в блокчейн внести, печатать от него внешние коды, а внутрениие — левые. покупатели даже не смогут оставить отзыв, зато с нормальных кодов к тем же товарам можно наклепать фальшивых отзывов over 9000.

YaMishar — не всегда защищает, мы делаем копию вещи вместе с кодом и продаём троим, каждый видит что номер бьётся у производителя. С блокчейном тоже можно, если мы не подтверждаем личность владельца через блокчейн, но если уж квартиры умудряются дважды продать при всех мерах защиты документов, то тут ещё проще.
Если это ответ на условный GUID, то:
мы пробили на сайте поставщика и он показал, что товар ушёл в таку-то страну, такому-то дистрибютору/дилеру…
Тут нет плюсов по сравнению с наклейкой за исключением того, что наклейку можно напечатать на 100 долларовом принтере, а произвести гравировку сложнее.
Ну и гравировка не отэемлема от самого продукта. А то на наклейке написано, что телефон имеет топовую конфигурацию, а в реале — нет.

А самое глевное мы тут же регистрируем GUID на сайте производителя.
Кстати, вот если исключить необходимость регистрации дома, а оставить это прямо в магазине, то всё складывается. Но тогда зачем ваша технология?
Вот и сейчас я могу пробить VIN номер или IMEI телефона на сайте производителя.

Есть ещё вопрос — а почему вы выбрасываете б/у вещи из рассмотрения? Многие дорогие предметы (часы, телефоны, даже вина) могут перепродаваться. И вот тут как раз интересно прослеживать историю. Тут блокчейн мог бы помочь, а вовсе не в случае продажи нового товара, где достаточно условно GUID-а напечатанного на коробке или самом изделии. Уникальный номер однозначно защищает от подделки, если бьётся на сайте производителя.
Only those users with full accounts are able to leave comments. Log in, please.