Aujourd’hui, j’ai vu une opportunité dégoûtante, l’administrateur peut lire les messages privés des utilisateurs sans quitter le panneau d’administration.
De plus, l’administrateur peut masquer la connexion dans le compte utilisateur, contourner le mot de passe et la 2FA pour lire les messages cryptés (Discourse Encrypt).
Je soupçonne que je ne suis pas le seul à être horrifié par les droits de l’administrateur et que la position des développeurs de Discourse reste inchangée - la vie privée des utilisateurs ne coûte rien.
Je voudrais demander, peut-être que quelqu’un a trouvé une solution à ce problème pour rendre les capacités de l’administrateur plus transparentes et informer l’utilisateur qu’un administrateur s’est autorisé dans son compte ou a lu son MP ?
Non, cette action dans les journaux ne peut être vue que par un administrateur/modérateur.
Je veux notifier les utilisateurs si un administrateur/modérateur se connecte à des comptes d’utilisateurs ou s’il lit des messages privés d’utilisateurs.
Notifier par MP via un bot système ou afficher ces actions de journal dans le profil des utilisateurs, par exemple créer un menu “journaux” dans les paramètres du compte des utilisateurs, où les utilisateurs peuvent voir cette action (connexion/lecture de MP par des administrateurs/modérateurs).
Si mes souvenirs sont bons, la fonctionnalité d’accessibilité PM n’est disponible que pour les administrateurs. Les modérateurs ne peuvent pas ouvrir les messages des autres utilisateurs. La réponse simple est donc que vous ne donnez accès administrateur qu’à ceux qui servent et gèrent spécifiquement l’instance Discourse elle-même. D’un point de vue technique, ceux qui gèrent votre instance pourraient accéder aux PM directement depuis la base de données sans générer d’entrées de journal. En tant qu’administrateur du site et du serveur sur lequel il se trouve, la seule façon d’empêcher définitivement les administrateurs d’obtenir ce niveau d’accès est de chiffrer le contenu avec une clé qu’ils n’ont pas.
Pour le niveau de sécurité que vous recherchez, vous avez essentiellement besoin de ceci :
Je ne l’ai pas encore utilisé (pas encore), mais je crois qu’il génère et stocke les clés côté client d’une manière qui ne serait pas accessible via la fonctionnalité d’usurpation d’identité. La clé est toujours stockée localement et l’usurpation d’identité ne devrait pas y donner accès (pour autant que je sache). C’est vraiment la seule façon de protéger les données dans la base de données elle-même.
Je suis très agacé que le « open source » de Discourse limite fortement mes opportunités d’administrateur, il est très limité dans les réglages subtils de ce forum, je ne peux pas :
désactiver l’activation par e-mail
supprimer les badges par défaut
modifier le CSP nginx pour sécuriser onebox (iplogger)
effacer tous les journaux, statistiques
installer des plugins via le panneau d’administration
installer sans docker avec un domaine (pas localhost)
voir qui est en ligne sans plugin (lmao)
installer Discourse sur un serveur non américain
définir un nom d’utilisateur/mot de passe pour ma base de données lors de l’installation du forum
Mais Discourse est un très bon produit pour espionner les utilisateurs et enregistrer plus d’informations sur l’activité des utilisateurs.
En fait, non. Vous ne pouvez pas lire les messages cryptés des autres utilisateurs à moins d’avoir leur clé pour les déchiffrer. Le cryptage/déchiffrement se fait côté client, pas côté serveur, et les messages cryptés sont stockés cryptés sur le serveur.
La capacité des administrateurs à lire les messages personnels est un problème souvent discuté et ne sera pas modifié. Si vous êtes préoccupé par la confidentialité et la sécurité, limitez strictement l’accès des administrateurs et connectez-vous en tant qu’administrateur uniquement lorsque vous devez modifier les paramètres du site ou télécharger une sauvegarde.
Vous semblez assez mécontent de Discourse. C’est open source, donc vous êtes invité à utiliser un autre logiciel.
Êtes-vous sûr que vous regardiez des messages chiffrés ? L’utilisateur doit réellement le configurer et commencer à l’utiliser pour envoyer/recevoir des messages. Les messages existants créés avant qu’ils ne le fassent ne seront pas chiffrés, et ils peuvent également choisir d’envoyer des messages non chiffrés.
Désolé de l’apprendre, mais je vous souhaite bonne chance et tout le meilleur !
Je pense que vous regardez des messages non chiffrés. L’administrateur devrait connaître le mot de passe des utilisateurs afin de déchiffrer les messages et les mots de passe sont stockés hachés PBKDF2, ce qui rend le processus coûteux et long pour forcer les hachages. Le plugin PM chiffré a une fonction d’expiration si vous avez besoin de plus de confidentialité. Dans tous les cas, même si l’interface d’administration n’avait pas l’option de lecture des MP, ils seraient toujours dans la base de données en clair, sauf si vous utilisez un plugin de chiffrement.
Open-source ne signifie pas confidentialité, je suppose que vous confondez les termes.
