في تثبيت افتراضي لـ Discourse، يطلب نموذج التسجيل عنوان بريد إلكتروني. ويوضح أن هذا البريد الإلكتروني “لن يُظهر للعامة”. لكن بعد إكمال العملية والتسجيل، وقبل أن يتمكن المستخدم من تعديل ملفه الشخصي أو القيام بأي شيء، يُستخدم عنوان البريد الإلكتروني لجلب صورة رمزية من Gravatar.
أعتبر هذا تسربًا للمعلومات التعريفية الشخصية. فصورة Gravatar يمكن، من حيث المبدأ، أن ترتبط بهوية الشخص وبالتالي بعنوان بريده الإلكتروني. وعلى الرغم من أن المستخدم لديه فرصة لتغيير الصورة الرمزية، إلا أنه من الممكن نظريًا أن يرى شخص ما الحساب والصورة المرفقة قبل أن يقوم المستخدم بأي إجراء، وذلك باستخدام قائمة “المستخدمين” العامة. إن دعم Gravatar ميزة رائعة، لكن المشكلة تكمن في أن Discourse يخلق توقعًا محددًا بأن عنوان البريد الإلكتروني سيبقى خاصًا، وذلك باستخدام الصياغة الموجودة في مربع التسجيل نفسه: “لن يُظهر للعامة”.
أعتقد أن أفضل طريقة لحل هذه المشكلة هي إما تعديل نص مربع التسجيل لخلق توقع مختلف، أو إضافة مربع اختيار/تأكيد لـ “جلب الصورة الرمزية عبر Gravatar”.
واجهت هذه المشكلة في منتديات Letsencrypt، ولكن بعد الاختبار يمكنني تأكيد أن نفس السلوك موجود على try.discourse.org وعلى هذا المنتدى (meta.discourse.org).
لا يمكنك تعريف “الجمهور” على أنه Gravatar، خاصةً أن الطلب يأتي مباشرة من الخادم إلى خادم Gravatar عبر بروتوكول HTTPS المشفر. أليس من الصحيح أن يتم استخدام تجزئة البريد الإلكتروني؟
أفترض أن المعلومات الشخصية القابلة للتعريف (PII) هنا هي محتوى الصورة نفسها. قد لا ترغب في أن يعرف العامة هويتك عند التسجيل في موقع Discourse باستخدام عنوان بريدك الإلكتروني، خاصةً وأن النص يشير إلى أن بريدك الإلكتروني سيكون خاصًا.
بمعنى آخر، أسجل باسم مستخدم عشوائي لحماية خصوصيتي، لكنني أستخدم عنوان بريدي الإلكتروني المعتاد. بناءً على عبارة "لا يُعرض للجمهور أبدًا»، لا أتوقع أن تُربط صوري فورًا بذلك الحساب بحيث يتمكن أي شخص من رؤيتها.
لقد قمت برفع صورتك إلى Gravatar وربطتها بعنوان بريدك الإلكتروني لأنك تريد أن تتبعك في كل مكان تستخدم فيه الإنترنت. إذا لم ترغب في أن تتبعك، فلا ترفعها إلى Gravatar.
صورة الجرافاتار ليست معلومات شخصية قابلة للتحديد (PII) بحكم التعريف - بل هي معلومات شخصية قابلة للتحديد عامة، وهي فئة منفصلة. أما التجزئة (hash) فبحكم التعريف هي عملية أحادية الاتجاه.
أي شخص جاد بشأن الخصوصية لا يستخدم نفس البريد الإلكتروني في كل مكان مرتبط بصورة جرافاتار. وحتى استخدام العناوين المضافة (plus addressing) يُفشل هذه الممارسة.
تُعتبر عناوين البريد الإلكتروني أيضًا معلومات شخصية قابلة للتحديد عامة، إذ يمكنها في بعض الحالات الكشف عن الجنس والعمر والموقع بالإضافة إلى الاسم.
يتم تجنب مخاطر الأمان القياسية لعكس التجزئة ومخاطر تتبع زوار Gravatar في Discourse لأن الخادم يقوم فعليًا بتنزيل الصورة.
إذا كان لديك عناوين بريد إلكتروني متعددة تستخدم نفس الصورة الرمزية (كما هو الحال معي)، فلا يمكن معرفة أي منها استخدمته للتسجيل في منتدى ما ما لم تكن أنت Gravatar. لا يحتفظ Discourse بسجل للصورة الرمزية ولا ينشره، لذا فإن الحل البديل للمستخدم بسيط نسبيًا (العودة إلى استخدام حرف أو تحميل صورة جديدة). ويمكنك دائمًا تحميل صورة رمزية لشخص آخر يدويًا.
