كيف يتم التنبيه إذا قرأ المشرفون/المعدلون الرسائل الخاصة للمستخدمين؟

الدعم
1

أهلاً :wave:

اليوم رأيت فرصة مقززة، يمكن للمسؤول قراءة الرسائل الخاصة للمستخدمين دون مغادرة لوحة تحكم المسؤول.

أيضًا، يمكن للمسؤول إخفاء تسجيل الدخول في حساب المستخدم، متجاوزًا كلمة المرور والمصادقة الثنائية لقراءة الرسائل المشفرة (Discourse Encrypt).

أشك في أنني لست الوحيد الذي يشعر بالرعب من صلاحيات المسؤول وموقف مطوري Discourse لم يتغير - خصوصية المستخدمين لا تكلف شيئًا.

أريد أن أسأل، ربما وجد شخص ما حلاً لهذه المشكلة لجعل قدرات المسؤول أكثر شفافية وإخطار المستخدم بأن مسؤولاً مصرحًا به في حسابه أو قرأ رسائله الخاصة؟

2

يوجد إعداد في الواجهة الخلفية يقوم بتسجيل كل مرة يفتح فيها مسؤول رسالة مستخدم آخر:

image
image568×118 3.08 KB

لن يقوم بإخطار المستخدم النهائي، ولكنه سيترك إدخالاً على الأقل. هل هذا كافٍ لأغراضك؟

إعجاب واحد (1)
3

لا، يمكن للمسؤول/المشرف فقط عرض هذا الإجراء في السجلات.

أريد إخطار المستخدمين إذا قام مسؤول/مشرف بتسجيل الدخول إلى حسابات المستخدمين أو إذا قرأ رسائل المستخدم الخاصة.

قم بإخطار المستخدم عبر الرسائل الخاصة عبر روبوت النظام أو اعرض إجراءات السجل هذه في ملف تعريف المستخدم، على سبيل المثال، قم بإنشاء قائمة “سجلات” في إعدادات حساب المستخدم، حيث يمكن للمستخدمين عرض هذا الإجراء (تسجيل الدخول/قراءة الرسائل الخاصة من المسؤولين/المشرفين).

4

إذا كنت أتذكر، فإن ميزة الوصول إلى الرسائل الخاصة متاحة للمسؤولين فقط. لا يمكن للمشرفين فتح رسائل المستخدمين الآخرين. لذا فإن الإجابة البسيطة هي أنك تمنح حق الوصول للمسؤولين فقط لأولئك الذين يخدمون ويديرون مثيل Discourse نفسه بشكل خاص. من الناحية الفنية، يمكن لمن يديرون مثيلك الوصول إلى الرسائل الخاصة من قاعدة البيانات نفسها دون إنشاء إدخالات سجل. بصفتك مسؤولاً عن الموقع والخادم الذي يستضيفه، فإن الطريقة الوحيدة لمنع المسؤولين في النهاية من الحصول على هذا المستوى من الوصول هي تشفير المحتويات بمفتاح لا يملكونه.

للمستوى الأمني الذي تبحث عنه، فأنت تحتاج بشكل أساسي إلى هذا:

لم أستخدمه (حتى الآن)، ولكني أعتقد أنه يقوم بإنشاء وتخزين المفاتيح من جانب العميل بطريقة لا يمكن الوصول إليها عبر ميزة انتحال الشخصية. لا يزال المفتاح مخزنًا محليًا ولا ينبغي لانتحال الشخصية توفير الوصول إليه (على حد علمي). هذه هي الطريقة الوحيدة لحماية البيانات في قاعدة البيانات نفسها.

إعجاب واحد (1)
5

أنا منزعج جدًا من أن “المصدر المفتوح” لـ Discourse يحد بشدة من فرصي كمسؤول، فهو محدود جدًا في الإعدادات الدقيقة لهذا المنتدى، لا يمكنني:

  • تعطيل تفعيل البريد الإلكتروني
  • حذف الشارات الافتراضية
  • تغيير سياسة أمان محتوى Nginx لتأمين onebox (iplogger)
  • مسح جميع السجلات والإحصائيات
  • تثبيت الإضافات عبر لوحة المسؤول
  • التثبيت بدون دوكر مع نطاق (ليس localhost)
  • عرض من متصل بدون إضافة (لanned)
  • تثبيت Discourse في موقع غير أمريكي للخادم
  • تعيين اسم مستخدم/كلمة مرور لقاعدة البيانات الخاصة بي عند تثبيت المنتدى

لكن Discourse منتج جيد جدًا للتجسس على المستخدمين وتسجيل المزيد من المعلومات حول نشاط المستخدمين.

Discourse Encrypt (deprecated)

نعم، لقد استخدمت هذه الإضافة ويمكنني قراءة الرسائل المشفرة عبر لوحة المسؤول. هذا محزن جدًا.

6

في الواقع، لا. لا يمكنك قراءة الرسائل المشفرة للمستخدمين الآخرين إلا إذا كان لديك مفتاحهم لفك تشفيرها. يحدث التشفير/فك التشفير على جانب العميل، وليس على الخادم، ويتم تخزين الرسائل المشفرة بشكل مشفر على الخادم.

إن قدرة المسؤولين على قراءة الرسائل الشخصية هي قضية تمت مناقشتها كثيرًا ولن تتغير. إذا كنت قلقًا بشأن الخصوصية والأمان، فقم بتقييد من لديه حق الوصول كمسؤول بشكل صارم وسجل الدخول كمسؤول بنفسك فقط عندما تحتاج إلى تغيير إعدادات الموقع أو تنزيل نسخة احتياطية.

يبدو أنك غير راضٍ تمامًا عن Discourse. إنه مفتوح المصدر لذا نرحب بك لاستخدام برامج مختلفة.

6 إعجابات
7

يا رجل، سأقوم باختباره اليوم.

نعم، الأمن والخصوصية مهمان جدًا في أي برنامج.

لذلك، سأقبل عرضك وأرفض استخدام Discourse المتجسس.

8

هل أنت متأكد من أنك كنت تنظر إلى رسائل مشفرة؟ يجب على المستخدم إعداده بالفعل والبدء في استخدامه لإرسال/استقبال الرسائل. الرسائل الحالية التي تم إنشاؤها قبل قيامهم بذلك لن تكون مشفرة، ويمكنهم أيضًا اختيار إرسال رسائل غير مشفرة.

يؤسفني سماع ذلك، ولكن أتمنى لك كل التوفيق، وحظًا سعيدًا!

3 إعجابات
9

نعم.
لقد قمت بتمكين هذا المكون الإضافي في تثبيت جديد افتراضيًا لجميع المستخدمين.

وداعا!

10

أعتقد أنك تنظر إلى رسائل غير مشفرة. سيحتاج المسؤول إلى معرفة كلمة مرور المستخدم لفك تشفير الرسائل، ويتم تخزين كلمات المرور باستخدام PBKDF2 المجزأة، مما يجعل عملية كسر تجزئة التجزئة مكلفة وطويلة. يحتوي المكون الإضافي للرسائل الخاصة المشفرة على دالة انتهاء صلاحية إذا كنت بحاجة إلى خصوصية إضافية. في أي حال، حتى لو لم يكن لدى واجهة مسؤول خيار قراءة الرسائل الخاصة، فستظل في قاعدة البيانات كنص عادي ما لم تستخدم المكون الإضافي للتشفير.

المصدر المفتوح لا يعني الخصوصية، أعتقد أنك تخلط بين المصطلحات.

إعجاب واحد (1)
11

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.