أفكار حول انتحال شخصية المستخدم

هناك أشياء مثل واتساب وغيرها لا تحتوي على هذه الوظيفة وهل أنت متأكد من أنهم يستطيعون فعل ذلك أم أنك تفترض أنهم يستطيعون لأنك تستطيع في تطبيقات أخرى تستخدمها؟

تذكير لطيف من مشرف الحي الودود الخاص بك للحفاظ على المناقشة حضارية، وهادئة، ومتزنة بشكل عام. يجب ألا تكون ميزات مناقشة الحوار تجربة شاقة.

بصراحة تامة، لم أكن لأختار Discourse كأساس للمجتمع الذي أسسته في المرة الأولى لو كنت أعرف عن هذه المشكلة/الميزة.

في رأيي، من غير المقبول من أي وجهة نظر أن تكون هذه الميزة مفعلة افتراضيًا وفقط بنقرة واحدة أو لمسة واحدة.

الحرية والخصوصية هما كل ما يهم حقًا على الإنترنت هذه الأيام. وآمل أن يتمكن الفريق الأساسي من مراجعة سير العمل لأنني أعرف أنه لم يتم تمكينها لكسر الثقة داخل Discourse ولكن لحالات استخدام جيدة!

المنتدى، كما قال جيمي، يشير إلى مناقشة جيدة، وليس إلى أن تكون وقحًا أو تأخذ آراء مختلفة على محمل شخصي

لا أفعل، وأنا أستخدم Mac فقط لتشغيل الموسيقى أو أشياء تافهة.

بالمناسبة، هل تعرف منصة تعلم إلكتروني كبيرة اسمها Moodle؟ نعم، انتحال الشخصية هي إحدى الأدوات. لا أحد يشتكي. يمكنني التصرف نيابة عن عملائي على WordPress.

إذًا… إذا كان انتحال الشخصية يمثل مشكلة، فلا توجد خيارات كثيرة متبقية.

ولم تكتشف بعد وظيفة “تغيير ملكية المنشور”!

afbeelding371×263 10.1 KB

بعيدًا عن التورية. تريد حظر السكاكين في كل منزل لأنه من الممكن قتل الناس بها. الأمر لا يتعلق بالأداة، بل بكيفية استخدامها. إذا كنت جزءًا من مجتمع، فأنت بحاجة إلى الثقة في المسؤولين، لأسباب عديدة جدًا. إذا لم تستطع، فعليك مغادرة المجتمع. هذا قاسٍ ولكنه بسيط هكذا.

تغيير سطر واحد في كود مصدر ديسكورس سيسمح للمسؤول بجمع جميع كلمات المرور المكتوبة بصمت، ماذا عن ذلك؟ يمكنك إزالة الميزات بقدر ما تريد ولكن ليس لديك طريقة للتحقق من الكود الذي يعمل على الخادم. الثقة هي الحل الوحيد لهذا.

بصفتي شخصًا يقوم بالكثير من استكشاف الأخطاء وإصلاحها نيابة عن العملاء ومستخدميهم، يمكنني أن أخبرك أن “حساب اختبار” لا يكفي. هناك العديد من الخيارات والإعدادات التي تهم لدرجة أن انتحال الشخصية هو الطريقة الوحيدة غالبًا. ومع ذلك، لدينا اتفاقية معالجة بيانات تمنعنا من إساءة استخدام هذه الميزات.

إذًا، كما قلت، هذه الميزة معروفة فقط قيد الاستخدام، وباختيار استخدام المنصة فإنك توافق عليها.

في الواقع، لهذا الموضوع الكثير من الجدارة. وجود طريقة لتعطيل الوظيفة عبر الوصول إلى خادم الجذر عبر سطر الأوامر منطقي تمامًا. أولئك الذين يريدون استخدام الميزة لديهم متاحة لحالة استخدامهم الخاصة. أولئك الذين لا يريدون تمكين الميزة يمكنهم إيقاف تشغيلها. نظرًا لأنه غالبًا ما يكون عدد محدود جدًا من المسؤولين في موقع ما لديهم وصول جذري، فيمكن أن يعمل ذلك بشكل جيد.

يشبه الأمر إلى حد كبير ما يتعين علينا استخدامه عبر سطر الأوامر لتمكين إنشاء شارات مخصصة تستخدم البرامج النصية، إذا كنت أتذكر بشكل صحيح.

إنه حل بسيط جدًا يمكن أن يرضي الجميع من وجهة نظرهم المؤيدة أو المعارضة للميزة. حل وسط رائع لمنصة منتدى مفتوحة. افتراضيًا، قم بإيقاف تشغيله مع تعليمات واضحة حول تشغيله أو حتى اجعله سؤالًا أثناء التثبيت لتمكينه أو عدم تمكينه مع تفاصيل حول كيفية تمكينه/تعطيله عبر الجذر.

وإذا كان أي شخص يعتقد أن جوجل وفيسبوك وآبل وجميع الشركات الأخرى لا تفعل هذه الأشياء، فلا أعرف ماذا أقول..

إذًا، يمكن استخدام مفتاح واجهة برمجة التطبيقات (API) في هذه الحالة. على ما أذكر، لست متأكدًا مما إذا كنت قد ذكرت حلاً لاستخدام واجهة برمجة التطبيقات (API) للمصممين لعدم الحصول على وصول كامل للمسؤول. ولكن كان هناك نقاش جيد حول ذلك.

يمكن بالتأكيد استخدام تغيير الملكية. لكن الوظيفة لا تعمل، على سبيل المثال، في ميزة الدردشة الجديدة.

لا ينبغي لنا حقًا مقارنة التفاح بالبرتقال. بينما لا توجد متطلبات تخزين قانونية للسكاكين، فإن الأسلحة النارية والذخيرة لها ذلك. الأسلحة النارية والسكاكين لا تقتل الناس، بل الشخص الذي يستخدمها لهذا الغرض.

يمكن إساءة استخدام أي أدوات ولا ضرر في وجود إجراءات أمان اختيارية.

في أي نظام، هناك دائمًا مجموعة من الأشخاص الذين لديهم وصول ومعرفة كافيين لانتحال شخصية الآخرين دون علمهم أو موافقتهم.

الأمر يعود إلى الثقة والمسؤولية، عليك أن تثق بفريق الإدارة العليا أو المطورين لديك للتصرف بمسؤولية.

في الأنظمة التي تخضع لسلطتي، إذا كانت هناك ميزة “انتحال شخصية المستخدم” (والتي أتفق على أنها مفيدة جدًا)، فإن إجراءات التشغيل الخاصة بنا للموظفين تنص على أنه لا يمكن استخدامها إلا بعد إبلاغ المستخدم باستخدامها والحصول على موافقة هذا المستخدم. سيُعتبر الفشل في القيام بذلك سببًا للفصل. نظرًا لأنه يتم دائمًا تقريبًا لحل مشكلة، فقد رفض عدد قليل جدًا من المستخدمين منحنا هذه الموافقة.

نرى أسئلة عرضية من المستخدمين حول ما إذا كان يمكن للمشرفين أو مديري النظام قراءة رسائلهم “الشخصية”. نصيحتنا هي أن أي نظام يمكن اختراقه أو اختراقه، لذلك لا تضع أي شيء في الرسائل الشخصية لا ترغب في أن يتم نشره.

بالمناسبة، يخبرنا مستشارونا القانونيون أنه في حالة إجراءات الاكتشاف القانوني، يمكن طلب كل شيء.

بالتأكيد قد يفعلون ذلك، وكذلك واتساب الذي يدعي خلاف ذلك. هذه مشكلة واضحة في البرامج مغلقة المصدر، حيث يُتوقع منك أن تثق بما يقولونه. بدون طريقة للتحقق كما يمكنك فعل ذلك مع المصادر المفتوحة.

قام والد لينوس بشوي مايكروسوفت بشأن هذه القضية لعدم قدرة أي شخص على تدقيق الكود للتأكد من عدم وجود أبواب خلفية.

كما شرحت بالفعل، حتى لو كان شيء ما مفتوح المصدر، فلا توجد طريقة للتحقق من الكود الذي يتم تشغيله على الخادم.

كيف تتصور ذلك؟ لا أفهم كيف يمكن لمفتاح واجهة برمجة التطبيقات مساعدتي في استكشاف مشكلة يراها المستخدم أو لا يراها.

هل تعرف ما يحدث عندما لا توجد ميزة “انتحال شخصية المستخدم” أو عندما يكون من الصعب الوصول إليها؟ سيبدأ موظفو الدعم في مطالبة المستخدمين بكلمات مرورهم مرة أخرى. لقد رميت الطفل مع ماء الاستحمام.

لا، آسف ولكن هذا ليس ما أطلبه (ولا أريد شيئًا).

من فضلك، ناقش.

لم أكن أسخر من أي شيء. كنت أبحث عن مقارنة ووجدت مثالاً في السكاكين، وهي مفيدة جدًا وسهلة الإساءة الاستخدام أيضًا، ومع ذلك يقبل الجميع أنها موجودة في كل مكان.

صحيح حيث يمكن للمرء تغييره قبل الاستخدام.

لم أقل إزالة كاملة أبدًا. يمكن استخدام مفتاح API لمنح الخيار مؤقتًا لمن يحتاجه.

كما ذكرنا، فإن وجود خيار لتعطيله عبر الوصول الجذر لسطر الأوامر هو حل سهل لأولئك الذين يفضلون عدم وجود وظيفة مفتوحة. يمكن حتى جعله بحيث يمكن تعيين وظيفة انتحال الشخصية عبر سطر الأوامر كخيار لتقييد استخدامها لمسؤول واحد على سبيل المثال.

أنا متفاجئ من المقاومة المقدمة لمجرد وجود خيارات للحد من الوظيفة أو تعطيلها كخيار. على سبيل المثال، مع استخدامك لتقديم خدمات الاستضافة، من الواضح أنك لن تقوم بتعطيلها أو حتى الحد من استخدامها حسب احتياجاتك.

الآن إذا أردنا خيارًا مباشرًا أيضًا، يمكن للنظام ببساطة إرسال بريد إلكتروني إلى المستخدم يفيد بأنه تم انتحال شخصيته بواسطة المسؤول س. مثل المصادقة الثنائية، ستخلق طبقة من الانفتاح على استخدام الوظيفة. إلى جانب ذلك، كان المستخدم الذي تم انتحال شخصيته على علم بالفعل بأنه سيتم استخدامه لحل مشكلة.

مقاومتي ذات شقين:

• إزالة الميزة أو جعل الوصول إليها أصعب يوفر شعورًا زائفًا بالأمان
• عندما تكون هذه الوظيفة صعبة (أو أصعب) الوصول إليها، يجد موظفو الدعم طريقهم إليها، ومشاركة كلمات المرور أسوأ بكثير، حيث لا يتم تسجيل ذلك، ويمكن الاحتفاظ بكلمات المرور، ويمكن أن تكون كلمات المرور صالحة لخدمات أخرى.

يمكن لشخص ما لديه وصول كافٍ أيضًا إيقاف إرسال هذا البريد الإلكتروني.
ويمكن أن يكون كل بريد إلكتروني متجه هجوم أيضًا (أعرف مثالًا محددًا لمنتدى Discourse تم اختراقه بواسطة إشعار وهمي “تم إنشاء نسخة احتياطية” تم إرساله إلى مسؤول).

لذلك تريد استخدام مفتاح API لفتح هذا. الآن يمكن للمسؤولين إنشاء مفاتيح API تمنحهم وصولًا كاملاً وعندما يسألهم مسؤولون آخرون عن سبب إنشاء / استخدام مفتاح API، يمكنهم الادعاء بأنه كان لاستكشاف الأخطاء وإصلاحها.

نحن لا نتحدث عن جوجل أو فيسبوك أو آبل. نحن نتحدث عن Discourse وهو مفتوح المصدر ويسمح بالاستضافة الذاتية.

يفترض أن يكون العكس.

أتفهم ذلك تمامًا.

لكن السؤال هو لماذا هو على بعد نقرة واحدة فقط عند تغيير عنوان مستويات الثقة يعني استخدام مستكشف الاستعلام أو إدارة قاعدة البيانات يدويًا؟

تحرير: تم توحيد مشاركتين.

هذا ينطبق على أي شيء حتى أجهزة الحماية والسلامة مثل منع السقوط. فهل يجب أن نتخلى عن معدات الوقاية الشخصية لأنها تخلق شعوراً زائفاً بالأمان التام إذا تم استخدامها؟

الخيارات ليست مطلقة. ببساطة إعدادات اختيارية لراحة البال حتى لو كان يمكن التحايل على أي شيء. كشف سام أنه على الرغم من صعوبة القيام بذلك، حتى المكون الإضافي للتشفير يمكن كسره مثل أي مخطط تشفير.

حسنًا، هذه ليست نقطة الموضوع ولكن يمكنك فتح موضوع جديد إذا أردت

في رأيي، هذه هي نقطة الموضوع: هل يمكنك الوثوق بمسؤولي المجتمعات التي تشارك فيها، وهل ينبغي عليك ذلك؟

لا أعتقد أن هناك الكثير مما هو جديد قادم من المحادثة في هذه المرحلة… لا يحتاج المسؤول الخبيث إلى انتحال شخصية للقيام بذلك، يمكنه أيضًا إنشاء منشور وتغيير ملكيته. يمكنهم تعديل منشوراتك الحالية وتغيير إعداداتك دون انتحال شخصيتك. يمكنهم أيضًا حذف سجل التعديل لإخفاء هذه الحقيقة عن المستخدمين الآخرين غير المسؤولين. لا يحتاج المسؤول أيضًا إلى انتحال شخصية مستخدم لرؤية كل ما يفعله حسابه، ولا يحتاجون إلى وصول إلى وحدة التحكم لذلك أيضًا.

إن إزالة زر انتحال الشخصية لا يفعل شيئًا لجعل حسابك أكثر أمانًا. كل ما يتيحه انتحال الشخصية يمكن أن يقوم به المسؤول دون ميزة انتحال الشخصية.

إذا كنت لا تثق بمسؤول خوفًا من أنه سيقرأ رسائلك الشخصية أو يغير ما تنشره لإيذائك، فلا يجب عليك استخدام الموقع.