チェックボックスのいずれかをクリックしたことの法的証明のためのスクリーンショットを作成しますか?


45

顧客の1人からリクエストを受け取りました。そのようなリクエストに出会ったことは一度もないので、どこから探すべきかさえわかりません。

私たちの顧客は大学のネットワークであり、私たちは彼らにサイトを構築しています。そのサイトでは、とりわけ、潜在的な申請者が大学の1つでの研究に関する詳細情報を得るために記入できるフォームになります。ユーザーがこのフォームに記入した後(電子メールや電話番号を含む)、関連する大学は関連する情報を連絡します。

さて、法律上の理由から、クライアントはこのフォームにチェックボックスがあり、これらの大学から販促資料を入手することに同意することを示すために潜在的な申請者がチェックすることも求めています。もちろんそれは問題ありません。しかし、ここにリクエストの奇妙な部分があります:

記入された各フォームの詳細は、信頼できる方法で保存する必要があります。どうやら、フォームの値をデータベース(ユーザーが同意したかどうかを示す列)に保存するだけでは不十分です。ユーザーがフォームを送信した後にDBが変更される可能性があるためです。クライアントは、他の大学ポータルが記入済みフォームのスクリーンショットを作成し、ユーザーの名前と日付を含む名前をファイルに付けるなど、簡単に見つけられる方法で専用フォルダーのどこかに保存すると主張していますと時間。

私の質問は次のとおりです。ユーザーが実際にフォームに記入したことを証明する方法としてスクリーンショットを使用したことを聞いたことがありますか?信頼できると考えられる他の方法はありますか?


96
スクリーンショットも同様に変更できます-特にディスクのどこかに保存するだけの場合。
ChrisF

41
推測させてください:このアイデアを思いついたのはコンピューターサイエンスの教授です。これらの人々の一部は素晴らしいです。彼らがどうやってそれをするのかはわかりませんが、彼らが思いついたアイデアは、あたかも彼らが酸にかかっているかのように超現実的です。
マイクナキス

32
待ってください-彼らはデータベースに電子メールアドレスと他の個人情報を保存しています、しかし彼らが心配している「セキュリティ問題」はそのユーザーがプロモーション電子メールを誤って得るかどうかです?
元気ウォンコ

11
「簡単に見つけられないフォルダ内」-ああ、あいまいさによるセキュリティ!ログイン資格情報などを必要とする、安全なサーバー上に保存するデータベースよりも安全の道はに...取得すること
デイブ・

19
スクリーンショットよりも優れているのは、ユーザーがうなずき、大きな「親指を立てる」サインを与えているユーザーのウェブカメラからビデオクリップをキャプチャできる場合です。さて、それが証明になるでしょう!
GrandmasterB

回答:


74

私はそのようなことを聞​​いたことがありません、そしてそれはばかげているでしょう。なぜなら、偽のスクリーンショットはデータベースの偽の値と同じくらい簡単に作成できるからです。

編集さらに、つまり、WTF?Web経由で誰かの画面のスクリーンショットを取得することはできないので、サーバー上のページを再構築し、そのスクリーンショットを撮る必要があります。


1
+1良い点は、プログラマチックなブラウザーを実行してHTMLをレンダリングし、そのページをPDF文書に送信して印刷ドライバーを作成できるとは考えていませんでした。
maple_shaft

実際に定期的に行われているように。原理的には、同じデータを2つのxsl:foテンプレートに送信できます。1つはhtmlを作成し、もう1つはpdfを作成します(実際に過去にこれを実行しました)。
11

1
@jwenting MikeNakisがすでに指摘したように、これはいまだに改ざんされる可能性があります。スクリーンショットが改ざんされていないことを検証するために使用するには、電子署名されたPDFを使用するか、画像からハッシュを作成する必要があります。
maple_shaft

24
「同じくらい簡単」?偽のスクリーンショットは、データベースをハッキングするよりもはるかに簡単です!
ジェビンホセ

4
技術的には、これは「スクリーンショット」ではありませんが、監査目的のために、当時のセッションを「再構築」する必要があります。送信されたフォームからデータを保存し、後で再構築することでこれを実現します。しかし、それはデータベースに保存されただけであり、「スクリーンショット」は保存したデータの再構成にすぎません。それが欲しい人にはきれいに見えます。
デコ

35

私は質問でこの答えを始めていることを知っていますが、私はポイントを持っています:

リクエストの想定される不合理さを疑問視することなく、これが典型的なHTTPブラウザーベースのWebアプリケーションである場合、スクリーンショットをプログラムでキャプチャしてサーバーに送信する方法を教えてください。

これは、ブラウザのセキュリティとプライバシーに関する深刻な懸念を表すものであり、不可能であることを願っています。

スクリーンショットのキャプチャ時に、誰かのクレジットカード番号も画面に表示されていたとします。これで、誤ってクレジットカード情報を取得し、システムがPCIに準拠するようになりました。これはまったく別の懸念事項です。

それを行う唯一の方法は、おそらく、Flash、Silverlight、Javaアプレット、またはシステム特権の高いActiveXコントロールなどのサードパーティのブラウザプラグインを使用することです。コンポーネントに署名する必要があり、ユーザーは、自分のマシンでコードを実行するためのアクセス権を持つコンポーネントに同意する必要があります。

この計画には余りにも多くの穴があり、他の大学が同様のものを実装していることを真剣に疑っています。少なくともWebアプリケーションに関しては、私は確かに私のキャリアでこれを聞いたことがありません。

編集:

私は、あなたのクライアントが本当に求めていると思うことをより大きく反映する別のオプションを考えました。

私は、クライアントに同意し、NDAドキュメントに署名してアプリケーションにアクセスする必要があるクライアント用にアプリケーションを作成しました。私はこれを署名可能なPDFドキュメントで実現しました。PDFドキュメントに署名フィールドを作成し、ペン+パッドUSBコンポーネントを使用するか、クリックして確認することで、法的目的でドキュメントを手動で物理的に署名した場合と同じようにすることができます。

これは電子署名と呼ばれ、法廷で持ちこたえます。

署名後のPDFドキュメントは暗号化され、署名とともにドキュメントが改ざんされていないことを検証するハッシュが保存されます。Adobeのような最新のPDFリーダーは、署名されたドキュメントを実際にサーバーに送信して、ドキュメント管理システムまたはデータベースに保存して安全に保管することができます。

管理者ユーザーはいつでもこれらのドキュメントのいずれかを呼び出して印刷できます。

これは、顧客が実際に必要としているものに沿ったものかもしれませんが、適切に説明する時間が不十分でした。


1
これは技術的には可能であるが、プラグインが必要であることを示すために+1
bunglestink

10
では、PDFを自分で署名したPDFに置き換えることを妨げるものは何ですか?私の知る限り、個人のIDを処理するための堅牢な公開キーインフラストラクチャはありません。
Random832

1
@ Random832私の友人をチェックメイト、あなたは私を得た!100%安全な答えはないと思います。どのシステムも侵害される可能性があります。
maple_shaft

3
これは確かにプラグインを必要としません。Googleの最新のフィードバックツール(Google PlusおよびYoutube)は、実際にこの「スクリーンショット」を行うことに注意してください。現在のページのすべてのHTMLをJAvascript経由で簡単に送信し、適切なスタイルシートを使用して、画像の外観を再構築できます。もちろん、チェックボックスの値を送信するだけなので、これはばかげています。
ベンブロッカ

CANVAS要素でマウスの動きをキャプチャし、キャプチャされた時間、X、Y座標をサーバーにシリアル化するウィジェットを作成しました。私はそのような「署名」の法的地位が何であるか完全にはわかりません(変更することができ、コピーするのは非常に簡単です)。彼らが同意しない場合、あなたはそのデータを得ました。(子供の兄弟に「ピザ」のサインがあるとどうなるかわかりませんが、PDFにも同じ問題があります)。
psr

27

本当の質問は、フォームに名前が表示されている人が本当にフォームに記入したのでしょうか?

言い換えれば、誰かがウェブサイトにアクセスして「Bill Gates」という名前を入力し、「電子メールを送信しても構いません」というボックスをクリックすると、スクリーンショットが実際のBill Gatesであることがわかります。

彼らは多くのサイトが何をするのか考えており、それは誰かが確認するためにクリックしなければならない一意のリンクを含む確認メールを送信していますか?そうすれば、少なくとも、そのメールアカウントにアクセスできる人からの確認があるという記録があります。


4
まさに。電子メールを要求する人が問題の電子メールアドレスを制御できることを確認するための検証電子メール。また、プロモーション資料をリクエストされた人々の法的記録を保持するのではなく、CAN SPAM Actに準拠しているだけで、プロモーション資料の購読を簡単に解除できることも付け加えます。(サードパーティによるプロモーション資料を送信するすべての電子メールには、自分が
投稿

20

そんなことない

この議論は、その人が同意したことを絶対に証明する方法はないという理解から始める必要があります。これは、物理的な世界にも当てはまります。人がフォームに物理的に署名し、そのフォームに自分の血を一滴入れてビデオを撮ったとしても、彼らはビデオが偽造され、彼らから知らずに採血され、署名が偽造されたと言うことができます。ただし、絶対的な証拠は必要ありません。妥当な量の証拠。

デジタルの世界では、テキスト、画像、データベース内のデータ、または電子メールなど、あらゆるデータを偽造できます。証明できる最も近いものは、ユーザーが秘密キーを使用して何かを暗号化し、公開キーがそれを解読することを示すことです。しかし、これは現在ほとんどのユーザーの能力を超えており、彼らはまだ彼らの秘密鍵が盗まれたと言うことができます。

私たちにできることは:

  • 偽造が難しい(不可能ではないが)何かを手に入れる
  • 法的に、証拠が十分であることに同意する
  • ユーザーが簡単に登録解除できるようにする

テキストではなく画像を保存しても、証拠としては何も追加されません。それがするのは、プロセスをより遅く、より高価にすることです。

電子署名

私の仕事には、ユーザーが声明に署名するアプリケーションがあります。法的には、私たちが管轄する管轄区域では、ユーザーが電子メールアドレスをフォームに入力した場合、電子署名としてカウントできるという法律が可決されています。クリックする必要があるリンクを送信することで、アドレスにアクセスできることを既に確認しています。これは絶対的な証拠ではありませんが、私たちの目的には十分であると考えられています。

どのような情報をキャプチャする場合でも、タイムスタンプをキャプチャすることをお勧めします。したがって、「この正確な日時に同意しました」と言うことができます。それが法的関連性を持っているかどうかはわかりませんが、それはユーザーにそうでないことを証明する機会を与えるので、私にとってより説得力があるように見えます)。

それに夢中になる

あなたには、いくつかの事ができません可能性がある証拠とみなされます。

  • タイムスタンプ、IP、ブラウザなどをキャプチャして、署名の状況をアサートできます
  • メールアドレスの確認が必要
  • 署名時にユーザーにパスワードの入力を要求する
  • 書き込み専用のサードパーティWebサービスが実行されるように準備します。このサービスは、ユーザーが署名した時点で、署名情報を含むアプリからHTTPS POSTを受け取ります。サードパーティがそのサービスが書き込み専用であること、その時点でレコードを受け取ったこと、およびコピーが同一であることを証明できる場合、それ以降データを変更していないと主張できます。
  • その時点で、ユーザーに「登録していただきありがとうございます。登録を解除する方法を教えてください」というメールを送信します。メールプロバイダーまたはあなたのメールプロバイダーは、ユーザーが署名した直後にメールが送信されたことを示すことができます。

イアナール

これを法的助言として受け取らないでください。


すばらしい答え...しかし、電子署名も同様に法的に争われているので、まだメールアドレス。あなたは正しいですが、絶対に証明された方法はありません。難しいだけの異なる色合い。法制度は合理的な疑いで機能します。ほとんどの人は、ビデオを偽造し、血を盗み、署名を偽造する作業は合理的な可能性ではないことに同意するでしょう。それは起こりますか?はい、もちろんですが、誰もがそのようなトラブルに遭うことはほとんどありません。
maple_shaft

1
「...そして、彼らはまだ公開鍵が盗まれたと言うことができました。」「...そして、彼らはまだ秘密鍵が盗まれたと言うことができる」と読むべきではありません。巧妙に設計されたPKIでは、盗まれた公開鍵はセキュリティの問題を引き起こしません。
ライライアン

capturing a timestamp無駄です。最近では、通常のユーザーがブラウザまたはデスクトップオートメーションを作成して、将来のある時点でフォームへの入力をスケジュールするのはかなり簡単です。
ライライアン

10

別のオプションは、クライアントから生のHTTPポストをログに記録することです。これには、スクリーンショットを必要とせずに、IP、出身地、ブラウザなどが含まれます。次に、これを生形式の挿入専用テーブル、または単純なフラットログファイルにログインできます...

私はこのようなばかげたリクエストに頻繁に遭遇する傾向があるため、他のオプションを考えようとしています...


うーん、しかしそのログは、改ざんされるのを心配しているのと同じデータベースにあります。私の回答の編集を参照してください。電子署名されたPDFドキュメントは、ドキュメントが改ざんされていないことを確認する唯一の方法です。
maple_shaft

1
@maple_shaft:追加のデータベースセキュリティを追加する基本的な考え方は、1人の管理者を除くすべてのユーザーの「挿入のみ」権限です。このログは、通常のデータベースアクティビティに追加され、必要な場合にのみ検証に使用されます。
bunglestink

1
@JonnyBoats:HTTPSは技術的に正しいですが、アプリケーションレベルで受信すると、同じ生テキストがログに記録されます。
bunglestink

1
「電子署名されたPDF文書」または電子署名されたものはすべて、「文書が改ざんされていないことを保証する唯一の方法です」。
Random832

1
@ Random832:文書の秘密鍵がユーザーから提供された場合は実行可能です。IMOは、プロモーション資料を受け取ることに同意することを示すチェックボックスを過剰に使用します。
ライライアン

8

スクリーンショットは簡単に作成できます。あらゆる種類のハッシュ、タイムスタンプなど、暗号化基盤なし。マーケティング資料を第三者に送信したり、第三者に情報を交換したりする前に、積極的な同意を得たことを証明するための厳しい規制要件が大学にあると推測されます。

これを行う唯一の信頼できる方法は、ユーザーに暗号署名を要求することです。例については、http://launchpad.net WebサイトがUbuntu行動規範に暗号署名するように求める方法を参照してください

これは、法的文書で暗号署名が使用される可能性のある管轄区域でのみ法の効力を持ちますが、ユーザーは特定のテキストに署名することにより、後で検証可能な同意の証拠を提供できます。大学が同じ公開鍵から正しい署名を偽造することは事実上不可能です。

大学がデータベースを更新し、同意フィールドを反転し、公開キーを秘密キーを知っている別のキーに置き換え、そのキーの有効な署名を生成することはまだ簡単なことに注意してください。

したがって、第三者が特定の個人に属していることを証明するキーに署名することなく、これはすべて、ユーザーが大学がプライバシー設定を偽造したかどうかを確認できることです-第三者の署名なしで、それは大学に対する彼らの言葉です。

さらに、すべてのキーの所有権が検証され、キーが1つまたは複数の信頼できる第三者によって署名される必要がある場合、大学は、さらに多くの露出なしに、明らかに有効な署名を偽造することはできません(彼らは、偽の鍵に署名するための信頼できる第三者)。この攻撃の難しさは、必要なサードパーティの署名の数とともに増加しますが、別の投稿者のメモにあるように、不可能ではありません。

要約すると:

  • ユーザーは秘密/公開キーのペアを所有または生成する必要があります
  • ユーザーは、1つ以上の信頼できる第三者から公開鍵の署名を取得する必要があります
  • ユーザーは、少なくとも大学、できればサードパーティのキーリポジトリに公開キーをアップロードする必要があります
  • ユーザーは、既知の平文に署名し、個人データの共有に同意した証拠として署名を提供する必要があります

実用的な問題:

  • 暗号署名を理解している人は少ない
  • サードパーティ認証の費用は高くなる可能性があります
  • これは、大学の目論見書ダウンロードページでジャンクメールチェックボックスを保護するための非常に多くの作業のようです

8

まず、法的に拘束力のある方法や要件を見つけることに焦点を当てて、クライアントの国/州の電子署名を読むことから始めます。正しい電子署名の証拠として、スクリーンショットを必要とする国や州はありません。

たとえば、米国では、47州が統一電子取引法を受け入れており、これはとりわけ「政府の問題」に適用されるため、大学の要件に適用される可能性があります。役立つ可能性のある次の部分があります。

..

  • 電子署名 -レコードに添付または論理的に関連付けられ、レコードに署名する意図のある人によって実行または採用される電子音、記号、またはプロセスを意味します。

..

  • セクション7は、電子署名、記録、契約に法的承認を与えます
    • (a)レコードまたは署名は、それが電子形式であるという理由だけで法的効力または法的強制力を否定されない場合があります。
    • (b)契約は、その形成において電子記録が使用されたという理由だけで、法的効果または法的強制力を否定されない場合があります。
    • (c)法律が記録を書面にすることを要求する場合、電子記録は法律を満たします。
    • (d)法律が署名を要求する場合、電子署名は法律を満たします。

..

法律がわかれば、最高の電子署名方式のコストとスクリーンショット方式のコストを見積もることになります。

最後に、私の調査結果について話し合います。最初に、提案されたオプションに対して最良のオプションを説明します。次に、これがプロジェクトに追加する時間について説明します。最後に、もし私がそうする場所にいたならば、私は彼らに、この「機能」が最終的な請求書にxドルを追加するだろうと彼らに言ったでしょう。私は、追加費用を正当化するために追加費用を使用することを非常に確信しています。

それでも彼らが動揺しない場合、私は彼らが私が同じ会議を持つことができるいくつかの健全性を持つ監督者を持っているかどうかを見るでしょう。

*私は弁護士ではありませんので、何か不明な点がある場合は法的助言を求めてください。


6

これは法的質問であるため、実際の答えはもちろん、国内法、場合によっては現地法および正確な状況に依存します。したがって、明らかに本当の答えは弁護士からしか得られません。

しかし、私の(限られた)法的知識に関する限り、明らかに非常に簡単であるため、スクリーンショットが何かの証拠と見なされると考える理由はないと思います。

あなたの最善の行動は、おそらくこれが本質的に法的問題であり、弁護士の助けが必要であることをクライアントに説明することでしょう。次に、弁護士に相談してもらいたいのか、それとも自分でやりたいのかを話し合います。

実行可能な解決策を得るために、あなたは自分で議論することを望むかもしれません(クライアントが同意するなら)。面倒なことをしたくない場合(または、彼らがあなたにそれを支払おうとしないかもしれないと恐れている場合)、彼らにそれをさせてください。


6
OPがこのルートに進む場合、私は中間的なアプローチを提案し、クライアントにそれを弁護士と話し合うべきであることを説明します。そうすれば、費用は直接クライアントにかかり、クライアントがその情報をOPに渡すときに弁護士が言ったことを誤解するリスクが少なくなります。
ケビンD

5

ドキュメントが変更されていないこと(データベースレコードなど)を検証する場合、「ベストプラクティス」は次のようになります。

  • 競合する可能性のあるフィールド(電子メールアドレス、ボックスがチェックされているかどうかなど)を含め、再現可能な方法でデータをシリアル化します。
  • そのレコードのハッシュを取得します(例:sha1)
  • このハッシュを暗号化するには、信頼できるサードパーティ(つまり、関心のないサードパーティ)の公開キーを使用します
  • データを公開方法で投稿して、ニュースグループなどのデータが存在した日付を確定します。
  • 検証するために、サードパーティはハッシュを解読し、現在のハッシュ値と比較できます。

これは、保険記録が改ざんされていないことを保証するために使用されています。ただし、一定の金額を支払った「信頼できるサードパーティ」は、自分自身や他のクライアントにサインバックされたときにハッシュを公布したため、証拠を得るために召喚状になる可能性のある記録の保管人が何人かいました。

これは、ブール値フィールドの検証のようなものにとって明らかにばかげた負担です。ただし、クライアントに関連する費用を提示すると、おそらく彼らは愚かなことをやめるでしょう。


4

リクエスト自体は馬鹿げており、フォームAに記入するときにAがチェックボックスをオンにしたという合理的な法的証拠はありませんが、質問の中には実際に回答できる質問があります。

[後でデータが変更されないようにする方法]ユーザーがフォームを送信した後にDBを変更できますか?

実際には、これは技術的に行う方が簡単かもしれません。

1.データが変更されていないことを証明する

ユーザーが実際に送信した値を使用して自分宛に(専用のメールボックスに)電子メールを送信するのは簡単です(サーバーの構成、しきい値、スパムとしてフィルタリングされる可能性、 1秒あたりに送信される電子メールの数など)、データが送信された後に変更されていないことを示すのに十分です。たとえば、Googleサーバーへ無制限のアクセス権がない限り、自分のGMailアドレスに送信した電子メールの内容を変更できないと確信している人は誰もいないと確信しています。

2.データが正しいことを証明する

データがその後変更されなかったという証拠を持っている場合でも、フォームの送信と電子メールによる情報の送信の間にデータが変更されていないことをどのようにして確認できるのか、顧客は満足しない可能性があります(そしてデータベースにコミットする)?この場合、次のステップは次のとおりです。

  1. チェックボックスを削除し、
  2. フォームに記入したユーザーには、顧客企業からスパムプロモーション資料を受け取らないようにマークを付け、
  3. スパムの商用オファーを受信するために、専用メールボックスに(事前定義されたタイトルと空の本文を含む)電子メールを送信する必要があることを訪問者に示します。

メールは自動的に処理され、証拠として保管されます。

3.データが本物であることを証明する

特定の電子メールアドレスを使用している人が実際にスパムを受信したいという証拠が得られたので、顧客はまだ満足していない可能性があります(通常、このようなクレイジーなリクエストを抱えている顧客で発生します)。誰かがあなたのスパムを受信するためにハッカーを登録するためだけに他の誰かのメールボックスをハッキングしたらどうなるでしょうか?

このレベルの狂気でも、要件に技術的に対応できます。現在、オプトインメールを送信する代わりに、Webサイトのユーザーは次のことを行う必要があります。

  1. ID /パスポートのコピー、および署名付きの手紙を添えて、この人が本当にスパムを受け取りたいと言っているメールを送信します。

  2. 返信されるシークレットコードを使用して電子メールアドレスを検証します。

ただし、これを行う前に、パート2で説明した内容を実装してテストするようにお客様に説得してください。顧客は、1、2か月後、オプトインメールを送信したことがないことを確認し、データベース内の法的証拠と変更されたデータを喜んで忘れます。


ステップ2は何も証明しません。スパムを受信したくないとマークするために、その「マーク」を、顧客が改ざんされることを心配しているのと同じデータベースに保存します。ただし、データセットのハッシュを保持することにより、誰かがデータまたはハッシュ自体のいずれかを改ざんした場合に、データとハッシュを比較すると、ハッシュに対して失敗し、データが破損または改ざんされたことを証明できます。
maple_shaft

@maple_shaft、一般的にパート2で不可欠なのは、データベースに保存されているものではなく、Webサイトのユーザーからのオプトイン電子メールの受信のみです。データベース内のデータは重要ではありません。
アルセニムルゼンコ

2
ステップ1は良いです。簡単、シンプル、効果的。
オフィルモ

@MainMa:そして、あなたは電子メールを偽造したり、偽装したりすることはできないと思いますか?
ベンフォークト

3

あなたがすることの法的地位は、ソリューションの技術的なメリットとは無関係です。

法律は、嘆願書に各個人の署名を掲載することを法律が要求していたため、英国の議会の議員は何年もの間、電子嘆願書を無視していました。それから誰かが、電子メールアドレス、日付、時刻、コメントのハッシュが、たとえ秘密鍵を含んでいないとしても、英国の法律では「デジタル署名」を構成していることに気付きます。

したがって、弁護士に何をすべきかを教えてもらい、それを実行してください。音かどうか心配しないでください。

または、弁護士に確認したことを信頼して、クライアントが求めることを行います。議論の記録があることを確認してください。


Therefore, get a lawyer to tell you what to do, and do it. Don't worry whether it's sound. Or, do what your client asks, trusting that they have checked with a lawyer. Make sure there's a record of the discussion.それは単にクライアントに対する法的および政治的な義務を果たすだけです。OPは(当然)クライアントが法的要件を満たすのを支援することにもっと関心があると思います(クライアントは現在、自分の法的要件を誤解しているように見えるため、間違った解決策を提案しています)。
ライライアン

3

スクリーンショットを取得するにはどのようにブリープする必要がありますか?あなたが持っているのは、HTML、クライアントに送信するもの、そしてクライアントからの電子応答です。どちらもスクリーンショットを含みません。

スクリーンショットはブラウザがレンダリングするものであり、使用中のブラウザや、反対側の設定や機器によって多少異なります。個人的には、Firefox、Chrome、Opera、Mobile Safari、ときどきLynx、時にはIEを使用して閲覧しています。

あなたはあなたの側で標準ブラウザでページをレンダリングし、それをスクリーンショットすることができますが、あなた自身のドキュメントを作成し、それを記録することは裁判官を感動させません。ユーザーにスクリーンショットを送信するように依頼することもできますが、それを強制することができます。すべてのブラウジングデバイスがスクリーンショットを撮って送信する明白な方法を持っているわけではありません(iPhoneでどのようにそれをしますか?)。スクリーンリーダーを使用して視覚障害のある顧客を扱っている場合、クライアント側で視覚的な表現がまったくない場合があります。(私の目の見えない友人の何人かは、ディスプレイをまったく持たないポータブルコンピューターを使用しているのを見ました。)

そのため、スクリーンショットを取得する方法がなく、写真を撮る画面さえないかもしれないことを顧客に説明します。


1
iPhone:LOCKボタンを数秒間押し続けます。Android:電話をルートキットし、祈ります。(私はあなたが言っていたポイントを得る、ちょうど
言った

3

実際には、データベースの信頼できるタイムスタンプとデジタル署名を組み合わせて必須アクセス制御を作成し、列の値を信頼できるようにすることができます。スクリーンショットは正解ではありませんが、実現したいことを正確に達成するトラステッドコンピューティングソリューションがあります。さらに詳細が必要な場合は、私とチャットを開始できます。


2

既に指摘したように、その人が同意したかどうかを本当に証明することはできません。

a)電子メールアドレスに送信されたリンクを使用して、ユーザーに同意を確認してもらいます(これにより、billgates @ microsoft.comを入力しただけではなくなります)。

b)マーケティング/プロモーションから退会するオプションを提供する


2

改ざん防止に最も近いスキーマは、ユーザーが(クライアント側)Javascriptを使用してフォームに入力したときに公開/秘密キーペアを生成し、フォームのコンテンツ、公開キー、および署名を送信することです。サーバーにアクセスし、秘密鍵をユーザーに提示して、メモを取り、安全な場所に保管するように依頼します。

このスキーマを使用すると、署名の生成に使用される秘密鍵がわからないため、フォームデータを改ざんできないことを証明できます。このスキーマの弱点は、プライベートキーに触れたことがないこと、およびユーザーがプライベートキーを紛失してはならないことを証明できる必要があることです。

秘密鍵にアクセスしたことがないことを証明できる必要があるため、フォーム署名の生成時にHTMLとすべてのJavascriptを含める必要がある場合があります。これは、ユーザーがデータを送信するために使用する正確なフォームを証明します(したがって、送信後にフォーム/ javascriptを変更していないこと、したがってJavaScriptを使用してプライベートキーを盗んでいないことが証明されます)。

このスキーマは複雑であり、複雑なシステムと同様に、穴がないことを保証することはできません(実際、穴があることをかなり確信しており、おそらく誰かが指摘できるでしょう)。


2

スクリーンショットが本物であることを確認する方法がないため、スクリーンショットはあまり証拠になりません。それはとても簡単に偽造される可能性があります。より多くの技術的なソリューションに関しては、アーカイブストレージエンジンがあります挿入と選択のみをサポートするMySQLの場合。テーブルからはまったく削除できません。気を付けてください。別のストレージエンジンにALTER TABLEを変更し、レコードを削除し、その後ALTER TABLEを実行して、誰にも気付かれずにエンジンを元に戻すことができるかもしれませんが、それをrootに制限し、rootのみがローカルにログインできるようにすることができます。次に、実際のローカルデータベースマシンへのログインを追跡して、誰が変更した可能性があるかを突き止めることができます。また、バイナリログを分析したり、生のクエリログを有効にして、この種のアクティビティを引き起こしたクエリを発行した可能性のある人を確認することもできます。どのデータベーステクノロジを使用しているかはわかりませんが、ほとんどの場合、データが簡単に変更されるのを防ぐソリューションを思い付くはずです。


2

座ってESIGN Actを読むことをお勧めします。この法律は、法的拘束力を持つために電子署名を記録するために必要なものとそうでないものを対象としています。以前の雇用主で、最も困難な法定ハードルは、署名と文書を10〜15年先まで読めるようにすることであることがわかりました。

記入された各フォームの詳細は、信頼できる方法で保存する必要があります。どうやら、フォームの値をデータベース(ユーザーが同意したかどうかを示す列)に保存するだけでは不十分です。ユーザーがフォームを送信した後にDBが変更される可能性があるためです。クライアントは、他の大学ポータルが記入済みフォームのスクリーンショットを作成し、ユーザーの名前と日付を含む名前をファイルに付けるなど、簡単に見つけられる方法で専用フォルダーのどこかに保存すると主張していますと時間。

他の人が指摘しているように、スクリーンショットはできません。すべての「マジック」ショーは純粋な偽物であるため、偽造される可能性があります。誰かが半分に切断されているのが見えますが、実際には半分に切断されているわけではありません。


1

私は以前、クレイジーの私のシェアを扱ったことがあります。いくつかの技術的な解決策を考えることはできますが、クライアントに戻って、「マーケティングメールを受信したくないですか?」という質問に言い換えることを提案してください。(または同様の表現)、その人がオプトアウトできるようにしますか?次に、スクリーンショットは必要ありません。


1

誰もが指摘したように、機能要求の技術的および法的メリットは存在しません。ただし、ユーザーがスクリーンショットを手動で取得してフォームの添付ファイルとしてアップロードできるようにする場合は、オプションがあります。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.