Hoy vi una oportunidad asquerosa, el administrador puede leer mensajes privados de los usuarios sin salir del panel de administración.
Además, el administrador puede ocultar el inicio de sesión en la cuenta del usuario, eludiendo la contraseña y la 2FA para leer mensajes cifrados (Discourse Encrypt).
Sospecho que no soy el único horrorizado por los derechos del administrador y la postura de los desarrolladores de Discourse no ha cambiado: la privacidad de los usuarios no cuesta nada.
Quiero preguntar, ¿quizás alguien ha encontrado una solución a este problema para hacer que las capacidades del administrador sean más transparentes y notificar al usuario que un administrador autorizado en su cuenta o leyó su mensaje privado?
No, esta acción en los registros solo la pueden ver los administradores/moderadores.
Quiero notificar a los usuarios si un administrador/moderador inicia sesión en las cuentas de usuario o si lee mensajes privados de usuario.
Notificar al PM a través de un bot del sistema o mostrar estas acciones de registro en el perfil de los usuarios, por ejemplo, crear un menú “registros” en la configuración de la cuenta de los usuarios, donde los usuarios puedan ver esta acción (inicio de sesión/lectura de PM de administradores/moderadores).
Si mal no recuerdo, la función de accesibilidad de PM solo está disponible para los administradores. Los moderadores no pueden abrir los mensajes de otros usuarios. Por lo tanto, la respuesta simple es que solo otorga acceso de administrador a aquellos que específicamente dan servicio y administran la instancia de Discourse. Desde un punto de vista técnico, quienes administran tu instancia podrían acceder a los PM desde la propia base de datos sin generar entradas de registro. Como administrador del sitio y del servidor en el que se encuentra, la única forma de evitar que los administradores obtengan ese nivel de acceso es cifrar el contenido con una clave que no tengan.
Para el nivel de seguridad que buscas, básicamente necesitas esto:
No lo he usado (todavía), pero creo que genera y almacena las claves del lado del cliente de una manera que no serían accesibles a través de la función de suplantación. La clave todavía se almacena localmente y la suplantación no debería proporcionar acceso a ella (hasta donde yo sé). Esta es realmente la única forma de proteger los datos en la propia base de datos.
Me molesta mucho que Discourse “de código abierto” limite fuertemente mis oportunidades como administrador, está muy limitado en la configuración sutil de este foro, no puedo:
Desactivar la activación por correo electrónico
Eliminar insignias predeterminadas
Cambiar la CSP de nginx para asegurar onebox (iplogger)
Borrar todos los registros, estadísticas
Instalar plugins a través del panel de administración
Instalar sin docker con dominio (no localhost)
Ver quién está en línea sin plugin (jaja)
Instalar Discourse en una configuración regional de servidor que no sea de EE. UU.
Establecer nombre de usuario/contraseña para mi base de datos al instalar el foro
Pero Discourse es un muy buen producto para espiar a los usuarios y registrar más información sobre la actividad de los usuarios.
En realidad, no. No puedes leer los mensajes cifrados de otros usuarios a menos que tengas su clave para descifrarlos. El cifrado/descifrado ocurre en el lado del cliente, no en el servidor, y los mensajes cifrados se almacenan cifrados en el servidor.
La capacidad de los administradores para leer mensajes personales es un tema frecuentemente discutido y no se cambiará. Si te preocupa la privacidad y la seguridad, limita estrictamente quién tiene acceso de administrador e inicia sesión como administrador solo cuando necesites cambiar la configuración del sitio o descargar una copia de seguridad.
Pareces estar bastante descontento con Discourse. Es de código abierto, por lo que eres bienvenido a usar otro software.
¿Estás seguro de que estabas mirando mensajes cifrados? El usuario tiene que configurarlo y empezar a usarlo para enviar/recibir mensajes. Los mensajes existentes creados antes de que lo hagan no se cifrarán, y también pueden optar por enviar mensajes no cifrados.
Lamento oírlo, ¡pero te deseo todo lo mejor y mucha suerte!
Creo que estás viendo mensajes sin cifrar. El administrador tendría que conocer la contraseña de los usuarios para descifrar los mensajes y las contraseñas se almacenan hasheadas con PBKDF2, lo que hace que sea un proceso costoso y largo para forzar las contraseñas de los hashes. El plugin de PM cifrado tiene una función de caducidad si necesitas privacidad adicional. En cualquier caso, incluso si la interfaz de administración no tuviera la opción de leer los mensajes privados, estos seguirían estando en la base de datos en texto plano a menos que se utilice un plugin de cifrado.
El código abierto no significa privacidad, supongo que estás confundiendo términos.
