Un utente mi ha chiesto, in qualità di amministratore, di aiutarlo con un problema, quindi mi sono impersonato per assicurarmi di comprendere correttamente il problema che stava riscontrando.
Ora risulto registrato come avente la stessa impronta digitale di questo utente. Ho nascosto quell’impronta, ma continua a essere un disturbo nella visualizzazione delle impronte digitali.
Considerata la possibilità per gli amministratori di impersonare gli utenti, avrebbe senso prevedere un’impostazione per escludere il personale, o almeno gli amministratori, dal matching delle impronte digitali?
Ci sono piani per aggiungere questo plugin all’hosting Business? Questo mi aiuterebbe a identificare molto più facilmente eventuali sockpuppet. In caso contrario, quali altre alternative mi consiglia?
Ci sono molti abbinamenti e molti dati da esaminare se si volesse cercare account duplicati sospetti. A mio parere, questo plugin sarebbe molto più utile se l’elenco delle impronte digitali evidenziasse (o desse priorità) ai dispositivi corrispondenti quando uno dei membri è stato o è stato bannato e/o silenziato. Ci sono pochissimi motivi per cui le persone creano account secondari quando non sono bannate, ma i membri bannati cercheranno sempre di infiltrarsi. Far apparire questo nell’elenco renderebbe molto probabilmente questo plugin più utile.
Non sono d’accordo con te su questo. I “sockpuppet” possono essere un grosso problema in alcune community. Inoltre, alcuni utenti sono più inclini a fare questo tipo di cose, quasi ovunque partecipino. L’ho visto personalmente.
Non sono nemmeno sicuro che si debba “sempre cercare di infiltrarsi” quando si tratta di membri bannati.
Ora, questo non significa che il tuo suggerimento non possa essere utile.
Credo tu abbia ragione ora che ci penso. Ho dimenticato che gli utenti possono creare account secondari per spingere la propria agenda, qualsiasi essa sia.
Gli utenti verranno silenziati la prossima volta che visiteranno il sito con un’impronta digitale corrispondente.
Questi errori dovrebbero essere corretti.
Rimuovere la riga da app.yml e ricostruire la tua istanza dovrebbe essere sufficiente.
Che errore stai riscontrando?
Penso di poter aggiungere un’opzione per questo.
Sono d’accordo con te e credo di poter implementare un indicatore per evidenziare gli utenti bannati.
Hmm, questo è un errore interessante, dato che esistono già controlli per garantire che quel metodo non venga chiamato a meno che i dati non esistano davvero. Stai utilizzando l’ultima versione?
Ho visto arrivare un singolo spammer di link con cinque account sockpuppet prima che alcuno di essi venisse bannato. È reale. Mi aspetto che quasi tutti i siti che ricevono traffico da motori di ricerca e hanno la registrazione aperta stiano probabilmente subendo spam SEO tramite sockpuppet; l’unica domanda è se gli amministratori riescano a trovarli.
@dan un altro suggerimento dopo aver usato più a lungo questo plugin: nell’elenco degli utenti che corrispondono a un’impronta digitale, continuo a cliccare sugli avatar degli utenti, aspettandomi che siano collegamenti alle loro pagine amministrative o ai profili, così da poter investigare facilmente se si tratti di corrispondenze accidentali o di veri e propri sockpuppet. Suggerirei che la pagina amministrativa sarebbe probabilmente più utile per tale indagine, ma entrambe le opzioni sarebbero più facili rispetto a leggere il testo al passaggio del mouse, memorizzare l’ID utente da quel testo e poi sperare di digitare correttamente l’ID nella ricerca utenti per accedere finalmente ai loro dati reali.
Questo plugin è fantastico… ha bloccato così tanti troll che continuavano a cambiare l’IP della VPN.
Dovrebbe essere considerato nativo di Discourse ( @codinghorror ). Cookie, cache e IP non sono sufficienti per contrastare gli attacchi ripetuti dei troll nel 2020.
Si è scoperto che i miei spammer non usano iPhone. Utilizziamo l’explorer dei dati per individuare gli attacchi che iniziano con testo innocuo per poi essere modificati in seguito e diventare spam di link, e il fingerprinting ha fatto un ottimo lavoro nell’aiutarci a identificare quegli spammer e a chiudere gli attacchi più rapidamente. Non sto sostenendo che dovrebbe essere incluso di default; non mi piace raccogliere PII e non lo faccio senza motivo. Se non avessimo un problema di spammer/troll, non vorrei assolutamente utilizzarlo, non perché sia malvagio, ma perché non voglio raccogliere PII senza una necessità legata alla fornitura del servizio. Quindi penso che sia utile, ma allo stesso tempo ha senso per me che sia un plugin piuttosto che parte del core. Renderlo una scelta consapevole è un vantaggio per la privacy. Ho chiesto a tutta la mia comunità di moderatori come la pensavano prima di implementarlo, e sono stato felice di avere quella conversazione in anticipo.
Va bene, è un esperimento che sono felice di condurre, ma tutti devono essere consapevoli che la tendenza è fortemente orientata verso i browser che bloccano tutti i metodi di fingerprinting. Questa tendenza è più avanzata su iOS, ma mi aspetto che si estenda a quasi tutti i browser e le piattaforme nel tempo.
È qui che il discorso con il threading parziale diventa confuso; non sono sicuro a chi tu intenda rispondere, il che rende poco chiaro il tuo antecedente. Non so se stai effettivamente rispondendo a me o a @dylanh724…
In ogni caso, penso che lo status quo di lasciarlo in un plugin sia una buona idea.
Il contesto è chiaro: sto rispondendo all’argomento (le debolezze fondamentali del fingerprinting del browser) e a chiunque ritenga rilevante ciò che ho detto.
Con Firefox (e Safari, credo) che ora bloccano il fingerprinting, il colpo di grazia arriverà quando Google Chrome bloccherà il fingerprinting per impostazione predefinita; a quel punto seguiranno tutti gli altri browser basati su Chromium.
Tutto può essere aggirato. Qui, non è legato all’IP (ciò che aiuterebbe Tor o una VPN) ma al BROWSER. Il modo più semplice per aggirare questo problema è utilizzare un altro browser o direttamente un altro dispositivo (dovrai comunque farlo IN AGGIUNTA alla cosa Tor/VPN per non essere rilevato con l’indirizzo IP).
(Analizza il browser, non l’utente dietro la tastiera)