imagino que não exista lei para punir isso. beleza. mas que é uma puta falta de sacanagem, é…
que dizer que as bolsas lá de fora usam bots? :shock:
tecnicamente falando, só melhorando a qualidade de nossa banda larga, certo? ou tem algo mais a se fazer?
num caso como este, como garantir ‘igualdade de condições’ para todos os participantes?
sim. inclusive, existem diversas reclamações contra alguns desses sites por aí. penso até que alguns já foram processados…
juro que também pensei nisso…
pode isso, gente? :shock:
#curioso
quem souber algo e puder nos ajudar, será ótimo! vai enriquecer demais nosso debate. 
pessoal, refaço a pergunta: tem como um [color=red]bot[/color] atuar em meu sistema sem estar logado? assumindo que meu sistema é ‘minimamente seguro’, usa ssl, tem alguma proteção contra sql injection etc, ainda assim existe a possibilidade de este ser assolado por [color=red]bots[/color]?
concordo totalmente.
imagino que não exista lei para punir isso. beleza. mas que é uma puta falta de sacanagem, é…
que dizer que as bolsas lá de fora usam bots? :shock:
tecnicamente falando, só melhorando a qualidade de nossa banda larga, certo? ou tem algo mais a se fazer?
num caso como este, como garantir ‘igualdade de condições’ para todos os participantes?[/quote]
A lei nesse caso não é específica, caso fosse, seria “Lei para sites de leilões”, mas o que digo é que se encaixa sim em várias leis que regulamentam atividades comerciais. (CDC Art. 31 trata muito sobre esse caso). Não tem como falar que existe uma atividade que não é regulada pelo Estado e que não tenha algo positivado. Portanto, não é preciso uma “lei” específica sobre isso. Alguns casos sim, mas esse não é um deles. Um exemplo que precisa para maior especificidade e ajuda no processo para obtenção de provas é o PL84/99, tao discutido ultimamente depois que aqueles kiddies do lulzsec-br ficaram dando DDoS por aí… Porquê o problema não é caracterizar um “owned” em uma pagina do governo como ilegal, o problema é que a obtenção de provas para isso é muito complicada e são facilmente refutáveis… Enfim, os sites de leilão são sim reguláveis e o uso de bots, se comprovado, dá facilmente margem para uma boa grana e uma multa ferrada.
Sobre essa questão de garantir igualdade, acho que é impossível, se eu não me engano no pacote TCP/IP tem algo que fala sobre isso, o tempo decorrido, mas com certeza é inseguro pra usar (eu poderia botar e ganhar). Ou seja, acho que é quem chegar, chegou…
É impossivel vc deixar ele 100% seguro pois não existe segurança 100% contra nada na computação…
porem tem como vc deixa-lo uns 90% mais seguro contra boots de usuários mal intencionados basta usar captchas assim é quase impossivel de um bot interpreta-lo…
sim, eu sei! além do que eu disse (ssl, proteção contra sql injection etc) e captchas, que mais poderia fazer para aumentar a segurança?
dá ou não para sofrer com ‘bots remotos’ e ‘não logados’ em meu sistema?
Cara, acho que impossível não contar com isso. Você vai sofrer com bot sim, mas sem estar logado, eu acho que não.
Captcha em site de leilões não dá certo. E outra, eu já vi libs que leem captchas com uma boa precisao…
pois é: estou a pensar se existe alguma forma de sofrer com bot não logado, mas acho que não mesmo… alguém discorda?
será que isso vale para os captchas do recaptcha?
Bom, se esses aí dá certo ou não, eu não sei (acredito que nao), mas eu conheci um cara que conseguiu ler e decodar os captchas da Receita Federal…
Mas de todo jeito, ia ficar tosco esse lance de captcha, imagina só pra dar um lance ter que fazer isso… Ia tirar mto a usabilidade.
E sim, concordo com vc, bot sem estar logado acho impossível.
recentemente acessei praticamente todos os sites nacionais desse gênero. além de feios, mal feitos e copycat uns dos outros, segurança é algo que eles pouco se preocupam… parece que é de sacanagem, sabe? acabam que faturam muito pq o internauta médio num tá nem aí para certas questões…
dessa forma, penso que qualquer um que cuide da segurança como requisito zero já estará cem passos à frente da ‘concorrência’…
ficam as questões: shared host x vps e como (tentar) garantir ‘igualdade de condições’ para todos, uma vez que cada conexão tem uma latência…
Eu discordo. Eu acho que não investem em segurança pq o cliente não liga, e se o cliente não liga, não vai trazer retorno financeiro.
Acho que o layout, a forma, etc, isso sim que deve ser valorizado. Integração com celulares e uma espécie de “ofertas pra você” sim que podem trazer retorno.
Mas claro, segurança é obrigação.
agir assim é burrice! o mínimo de segurança é algo básico demais para ser ignorado! mesmo que o ciente não ‘ligue’ para… agora, vagabundo tem tanta sorte que mesmo com sisteminha meia-boca, dão sorte e não têm o mesmo invadido…
com certeza! next feature!
acabei de ‘parar’ no site show de centavos por alguns instantes. acredite se quiser, mas o cronômetro ‘zerou’ e, ao invés de o sistema deles exibir o ‘vencedor’ do leilão, adivinhe o que aconteceu? isso mesmo: o cronômetro foi re-iniciado, e com 1:30"! :shock: que nojo cara! :twisted:
Opa Lucas,
É isso mesmo. Mas dá pra colocar PROCON neles, o problema é se o juiz for legalista demais… Essa questão de direito digital vai dar o que falar ainda.
[]'s
fiquei com a impressão de que o calcanhar de aquiles desse tipo de sistema é o javascript, não? tudo depende do contador (normalmente feito em js)… existem formas de programar em js de modo ‘seguro’? ou, como minimizar a possibilidade de fraudes no contador?
Sai de uma empresa que teve muitos problemas com um site de leilao mal feito, e que teve q sair do ar, quebra de contrato, multa e tal…
A questao de bots existia nesse sistema mas era criado e agendado pelo proprio cliente/usuario.
ex:
Quem agenda: Eu(cliente/usuario) posso com meus creditos(que comprei) criar bots para lances.
Da regra de criação: A regra determinada seria programar lances entre Valor X e Valor Y a cada Z segundos(apenas em SEGUNDOS).
Pulo do gato para o usuario/cliente: Entao um usuario dá um lance real e o meu lance cobre o lance dele após Z segundo do lance dele, assim eu cobri o ultimo lance automatico.
Se varias pessoas agendassem lances automaticos, lances cobririam lances e os milisegundos seriam o diferencial, só a nivel de hardware ou banda ou sei lá…
Para que o Usuario não sofra o bot ele teria que dar seu lance no ultimo segundo, pois o bot agirá apenas dentro do tempo do leilao do produto, logo entre os ultimos ms nenhum boot conseguiria agir.
E ae?
Vamos falar de arquitetura???
Um servlet bem definido conseguiria resolver as concorrencias?
Falando de servlets assincronos, isso seria uma boa opção?
Objeto Sincronize, Objeto em escopo de Sessao, Será que seria confiável usa-los para segurar estes lances dos usuarios e manter a concorrencia?
CRiando uma hash com a hora que o cliente clicou e comparando todos os cliques no servidor para garantir os milisegundos pra cada usuario seria viável para eliminar o problema da latencia e de uma possivel auditoria?
sim, vamo!
tenho pensado nisso… o google plus utiliza ‘servlet puro’, jee sem framework, javascript e closure.
se os caras confiam no servlet para um site de grande acesso como este, deve ser porque ele ‘guenta o tranco’, não?! :shock:
preciso pesquisar sobre…
acho que a verdadeira ‘concorrência’ está do lado do cliente, não?
posso estar sendo radical demais, mas acho que o problema da ‘latência’ se resolve ‘facilmente’ hospedando o sistema no brasil…
aparentemente, não há muito o que fazer, se não ‘ser patriota’… :roll:
Achei esse post do Paulo Silveira que aborda praticamente toda a solução deste post aki.
http://blog.caelum.com.br/javaee-6-contexto-assincrono-das-servlets-para-o-ajax-push/
Ótima essa abordagem…
qual seria a vantagem de somar servlets + js + closure?