كمثال، إذا لزم الأمر، امنح الوصول للمسؤول أو المشرف إلى وظيفة السمات، ولكن كمثال، قم بتعطيل الوصول لرؤية أسرار واجهة برمجة التطبيقات (API) من تسجيلات الدخول الاجتماعية.
وفصل المشرفين، على سبيل المثال، امنح دور المشرف لبعض الأشخاص في فرع المنتدى المجتمعي للأشخاص الموثوق بهم من المجتمع مع قيود…
مرحباً 
إذا فهمت بشكل صحيح، فأنت تسأل عما إذا كان Discourse يوفر أذونات للمشرفين.
إذا كان الأمر كذلك، فهذا غير ممكن. أنت إما موظف (مسؤول أو مشرف)، أو مشرف فئة، أو قائد TL4.
اقرأ هذا الموضوع
أعتقد أن مشرفي الفئات أو القادة سيعملون بشكل جيد هنا.
أي شخص لديه إمكانية الكتابة في السمات يمكنه اختطاف جلسة المستخدم بالكامل. إذا كنت لا تثق بشخص ما في القيام بذلك، فلا يجب أن تثق به على الإطلاق. وإذا كنت تثق بهم، يمكنك فقط جعله مسؤولاً.
كان هذا مثالاً، وبشكل أوضح، لا أريد منح الوصول إلى مفاتيح الواجهة البرمجية (API) ولكن منحها لأقسام إعدادات أخرى. لمنع المسؤول من نسخ هذه المفاتيح واستخدامها في مكان ما في مكان ثالث كمثال للاختبار لشيء ما.
ليس بالضرورة حتى لأغراض شريرة، ومع ذلك، هذا قسم مقلق للغاية في حالة، على سبيل المثال، مفتاح GitHub. قد لا يكون المسؤول مرتبطًا بالمستودع على الإطلاق، ولكنه يدير المنتدى إذا لزم الأمر. لكنني لم أرغب في أن يعرض المفاتيح للخطر عن طريق الخطأ، ببساطة عن طريق “نسخها ثم سرقتها منه”.
أو إزالتها عن طريق الخطأ.
بسبب الكسل في الحصول على مفاتيح خاصة به، وفي حالة تويتر وجوجل، كل شيء متناقض إلى حد ما هناك، نظرًا لأن هذه المفاتيح لا يتم توزيعها الآن على كل من يكتب “أريد الوصول”، وحتى الاختراق العرضي للمفاتيح يمكن أن يؤدي إلى تعطيل الوصول إلى الواجهة البرمجية (API).
كيف يمكن حماية صفحات الحلول كهذه بكلمة مرور إضافية في الإصدارات القادمة إذا لزم الأمر
أعتقد أنه من الأفضل التفكير في جميع الثغرات الأمنية المحتملة ومنعها حتى لو كانت غير مرجحة
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.