Stoa :: Desenvolvimento do Stoa :: Fórum

Autor Cadastro
Ewout ter Haar
Ewout ter Haar

Fev 13, 07

Bem, foi corrido, mas Renato e Edgar conseguiram fazer, e refazer, o cadastro automático. Até agora, a gente inscrevia os participantes manualmente. Ontem de madrugada Renato conseguiu incluir os novos ingressante na nossa base de dados com todos os membros e ex-membros da comunidade USP. Agora todo mundo já pode se cadastrar sem intervenção humana. Até agora a pouco, as pessoas que entraram pela primeira vez viram um interface im inglês em vez de português, mas acredito que resolvi este problema. Ainda falta tratar direito pessoas com acentos no seu nome.

Como escrevi anteriormente, queremos ligar os nomes de usuário a um número usp de uma maneira segura para nós e para os participantes. Mas não podemos simplesmente perguntar somente o número USP. O risco para nos é de fraude, pessoas ou bots criando contas sem uma pessoa responsável por trás. A solução é perguntar a cadastrante um segredo que somente nos e ele sabem. Infelizmente, isto complica o processo de cadastro, e agora o risco para os participantes é que informações privativas sejam roubados, no pior caso possibilitando fraude em outros sistemas. Como equacionar?

O processo que inicialmente implementamos era: o cadastrante da o seu no. usp e o seu CPF como o segredo em comum. Mas descobrimos na última hora que metade das pessoas na base de dados da USP não tem CPF (cadastrado, pelo menos). O Edgar e Renato conseguiram na madrugada de 11 para 12 de fevereiro implementar uma segunda opção: agora, se não tiver CPF cadastrado, pedimos a data de nascimento.

Na verdade, verificamos não os CPFs propriamente dito: no nosso base de dados temos somente os CPF codificados, e comparamos este CPF embaralhado com o CPF dado pelo cadastrante embaralhado com o mesmo algoritmo. Isto evita a possibilidade que alguem pode roubar a nossa base de dados com 250k CPFs, e vender na Santa Ifigênia. Os números e senhas ainda trafegam pela rede não-criptografados. Devemos usar SSL para as páginas de cadastro e login.

Um grande inconveniente do processo do jeito que implementamos agora, é que muitos participantes em potencial devem ter uma grande e compreensível resistência a fornecer o CPF para nós. Explicamos que não guardamos ou mesmo vemos o CPF deles, mas o que importa é a percepção. Talvez devemos perguntar a data de nascimento para todo mundo?

Palavras-chave: cadastro, stoa, stoa-dev

Já corrigido. E esse http://stoa.usp.br/edgar, quem será que é?

É uma conta antiga do Edgar. Ele mudou o login dele para walrus e deixou isso.

Note que o ID desse usuário é bem antigo. Pode remover do sistema. 


<< Voltar aos tópicos Responder