Что, если администратор по ошибке назначит пользователя администратором или модератором? Может ли такое случиться?
Отзыв прав администратора или модератора — это просто.
Кнопка «Выдать» изменится на «Отзыв».
Но что, если злоумышленник ожидает этого, предоставит всем пользователям форума Discourse с более чем 2000 участниками права администратора, отзовет права у всех существующих администраторов, а затем приостановит их аккаунты, чтобы они ничего не могли сделать?
Мы не можем защитить администраторов от собственных ошибок. Если пользователь без доверенного статуса получает доступ администратора по любой причине, ситуация выходит из-под контроля. Сайт следует считать скомпрометированным. Владелец сайта должен следовать инструкции: What to do if your Discourse is compromised.
Два замечания.
- Предоставление прав администратора — это не просто нажатие кнопки. После нажатия кнопки «Предоставить права администратора» необходимо получить ссылку по электронной почте для завершения процесса. Маловероятно, что администратор случайно предоставит права администратора.
- Даже если злоумышленник получил доступ администратора на форуме Discourse, это не означает доступ к серверу. Владелец сайта всё ещё сможет предпринять действия через консоль сервера.
Однако эта дискуссия, кажется, ушла не в ту сторону. Случайный или злонамеренный доступ администратора не имеет ничего общего с руководством по модерации. Я перенесу это обсуждение в новую тему.
Если вам нужна помощь в восстановлении вашего форума, отправьте мне личное сообщение с деталями консоли.
Обратите внимание: доступ разработчика нельзя отозвать.
Этого не происходило. Это было гипотетически, но спасибо.