Oggi ho visto un’opportunità disgustosa, l’amministratore può leggere i messaggi privati degli utenti senza uscire dal pannello di amministrazione.
Inoltre, l’amministratore può nascondere l’accesso nell’account utente, bypassando la password e la 2FA per leggere messaggi crittografati (Discourse Encrypt).
Sospetto di non essere l’unico inorridito dai diritti dell’amministratore e dalla posizione immutata degli sviluppatori di Discourse: la privacy degli utenti non costa nulla.
Vorrei chiedere, forse qualcuno ha trovato una soluzione a questo problema per rendere le capacità dell’amministratore più trasparenti e avvisare l’utente che un amministratore ha autorizzato il suo account o letto i suoi messaggi privati?
No, questa azione nei log può essere visualizzata solo da admin/moderator.
Voglio notificare agli utenti se un admin/moderator accede agli account utente o se legge messaggi privati degli utenti.
Notifica al PM tramite bot di sistema o mostra queste azioni di log nel profilo utente, ad esempio crea un menu “log” nelle impostazioni dell’account utente, dove gli utenti possono visualizzare questa azione (accesso/lettura PM da admin/moderator).
Se ricordo bene, la funzionalità di accessibilità PM è disponibile solo per gli amministratori. I moderatori non possono aprire i messaggi di altri utenti. Quindi, la risposta semplice è che si concede l’accesso amministrativo solo a coloro che gestiscono specificamente l’istanza Discourse. Da un punto di vista tecnico, coloro che gestiscono la tua istanza potrebbero accedere ai PM direttamente dal database senza generare voci di registro. In qualità di amministratore del sito e del server su cui si trova, l’unico modo per impedire in definitiva agli amministratori di ottenere tale livello di accesso è crittografare i contenuti con una chiave che non possiedono.
Per il livello di sicurezza che stai cercando, ti serve essenzialmente questo:
Non l’ho ancora usato (ancora), ma credo che generi e memorizzi le chiavi lato client in un modo tale che non sarebbero accessibili tramite la funzionalità di impersonificazione. La chiave è ancora memorizzata localmente e l’impersonificazione non dovrebbe fornire l’accesso ad essa (per quanto ne so). Questo è davvero l’unico modo per proteggere i dati nel database stesso.
Trovo molto fastidioso che “open source” di Discourse limiti fortemente le mie opportunità di amministratore, è molto limitato nelle impostazioni avanzate di questo forum, non posso:
disabilitare l’attivazione via email
eliminare i badge predefiniti
modificare la CSP di nginx per rendere sicuro onebox (iplogger)
cancellare tutti i log, statistiche
installare plugin tramite pannello admin
installare senza docker con dominio (non localhost)
vedere chi è online senza plugin (lmao)
installare Discourse su locale server non USA
impostare nome utente/password al mio database durante l’installazione del forum
Ma Discourse è un ottimo prodotto per spiare gli utenti e registrare maggiori informazioni sull’attività degli utenti.
In realtà, no. Non puoi leggere i messaggi crittografati di altri utenti a meno che tu non abbia la loro chiave per decifrarli. La crittografia/decrittografia avviene sul lato client, non sul server, e i messaggi crittografati vengono archiviati crittografati sul server.
La possibilità per gli amministratori di leggere messaggi personali è un problema spesso discusso e non verrà modificato. Se sei preoccupato per la privacy e la sicurezza, limita rigorosamente chi ha accesso amministrativo e accedi come amministratore solo quando devi modificare le impostazioni del sito o scaricare un backup.
Sembra che tu sia piuttosto insoddisfatto di Discourse. È open source, quindi sei il benvenuto a usare un software diverso.
Sei sicuro che stessi guardando messaggi crittografati? L’utente deve effettivamente configurarlo e iniziare a usarlo per inviare/ricevere messaggi. I messaggi esistenti creati prima che lo facciano non saranno crittografati e possono anche scegliere di inviare messaggi non crittografati.
Mi dispiace sentirlo, ma ti auguro tutto il meglio e buona fortuna!
Penso che tu stia guardando messaggi non crittografati. L’amministratore dovrebbe conoscere la password dell’utente per decrittografare i messaggi e le password sono memorizzate con hash PBKDF2, il che rende il processo costoso e lungo per forzare gli hash. Il plugin PM crittografato ha una funzione di scadenza se hai bisogno di maggiore privacy. In ogni caso, anche se l’interfaccia di amministrazione non avesse l’opzione di lettura dei PM, sarebbero comunque nel database in chiaro a meno che non si utilizzi il plugin di crittografia.
Open-source non significa privacy, immagino che tu stia confondendo i termini.
