关于冒充用户的想法

有像WhatsApp和其他不具备该功能的应用，你确定它们可以这样做，还是因为你在使用的其他应用中有这个功能而推测它们可以这样做？

来自您友好的邻里版主的友好提醒，请保持讨论文明，总体上保持冷静、镇定和沉着。 辩论式讨论不应是一种紧张的体验。

坦白说，如果我早知道这个bug/功能，当初就不会选择Discourse作为我创立社区的基础。

在我看来，默认启用该功能，并且只需单击或轻触一下即可触发，这是从任何角度来看都不可接受的。

如今，自由和隐私是互联网上真正重要的东西。我希望核心团队能够重新审视工作流程，因为我知道启用它并非是为了破坏Discourse的信任，而是为了好的用例！

正如Jammy所说，这个帖子是为了进行良好的讨论，而不是为了无礼或将不同意见视为个人攻击

我不用，而且我只用Mac来播放音乐或做些无关紧要的事情。

顺便问一下，您是否知道一个名为 Moodle 的相当大的 LMS 平台？是的，冒充是其中一种工具。没有人抱怨。我可以在 WordPress 上代表我的客户行事。

所以……如果冒充是一个不可逾越的障碍，那么选择就不多了。

你甚至还没发现“更改帖子所有权”的功能呢！

afbeelding371×263 10.1 KB

玩笑归玩笑。你想因为刀具可能被用来杀人，就禁止家家户户使用刀具。问题不在于工具，而在于如何使用它。如果你是一个社区的一员，你需要信任管理员，原因有很多很多。如果你不能，那么你就需要离开这个社区。这很残酷，但就是这么简单。

修改Discourse源代码中的一行就可以让管理员悄悄地收集所有输入的密码，怎么样？你可以随意删除功能，但你无法验证服务器上运行的代码。信任是唯一的解决方案。

作为一名经常代表客户及其用户进行故障排除的人，我可以告诉你，“测试账户”是不够的。有太多重要的选项和设置，冒充用户通常是唯一的方法。话虽如此，我们有一个数据处理协议，禁止我们滥用这些功能。

正如你所说，这个功能是已知被使用的，选择使用该平台就表示你接受它。

确实，这个话题很有价值。通过命令行 Root Server 访问来禁用该功能的方式非常合理。那些想要使用该功能的人可以根据自己的具体情况来使用。那些不想启用该功能的人可以将其关闭。由于在一个站点上通常只有极少数管理员拥有 root 访问权限，因此这种方式可以很好地运作。

这很像我们需要使用命令行来启用创建使用脚本的自定义徽章（如果我没记错的话）。

这是一个非常简单的解决方案，可以满足所有人对于该功能的支持或反对的观点。对于一个开放的论坛平台来说，这是一个很好的折衷方案。默认情况下将其关闭，并提供清晰的启用说明，或者在安装过程中询问是否启用，并提供如何通过 root 启用/禁用的详细信息。

如果有人相信谷歌、脸书、苹果以及其他所有公司都不做这些事情，那我真不知道该说什么了……

那么在这种情况下可以使用 API 密钥吗？我记得你是否提到过一个解决方案，让设计师可以使用 API 而无需拥有完整的管理员访问权限。但对此进行过很好的讨论。

更改所有者当然可以使用。但该功能在新聊天功能中不起作用。

我们真的不应该进行苹果和橘子的比较。虽然刀具没有法律储存要求，但枪支和弹药有。枪支和刀具本身不会杀死人，是使用它们的人才会有这种目的。

任何工具都可能被滥用，并且拥有可选的安全措施没有坏处。

在任何系统中，总有一群人拥有足够的访问权限和知识，可以在不知情或未经同意的情况下冒充他人。

这归结为信任和责任，你必须信任你的高级管理员团队或开发人员能够负责任地行事。

在我管辖的系统中，如果有一个“冒充用户”功能（我同意这非常有用），我们的员工操作规程规定，只有在告知用户其使用情况并征得用户同意后才能使用。未能这样做将被视为解雇的理由。由于这几乎总是为了解决问题而进行的，因此很少有用户拒绝给我们同意。

我们确实会偶尔收到用户关于版主或系统管理员是否可以阅读其“私人”消息的疑问。我们的建议是，任何系统都可能被破坏或黑客攻击，因此不要在私人消息中放入任何你不希望公开的内容。

顺便说一句，我们的法律顾问告诉我们，在法律发现程序的情况下，一切都可以被要求。

当然，他们和WhatsApp一样，尽管声称并非如此。这是一个明显的闭源软件问题，你只能相信他们所说的。无法像开源软件那样进行验证。

Linus的父亲曾就微软无法让任何人审计代码以确保没有后门的问题进行过质询。

正如我之前解释过的，即使某样东西是开源的，你也无法验证服务器上运行的是什么代码。

你设想的是什么？我不明白 API 密钥如何能帮助我排查用户看到或看不到的问题。

你知道当没有“模拟用户”功能或难以访问时会发生什么吗？支持人员将再次开始向用户索要密码。你这是把孩子和洗澡水一起倒掉了。

不，抱歉，我不是这个意思（而且我什么都不想要）。

请讨论。

我并没有在嘲笑任何东西。我当时在寻找一个类比，并在刀具中找到了一个例子，刀具非常有用，而且也非常容易被误用，但每个人都接受它们无处不在。

确实，因为在使用前可以对其进行修改。

从未说过要完全移除。API 密钥可用于在需要时临时授予需要它的用户该选项。

如前所述，通过命令行 root 访问禁用它的选项，对于那些希望不将其作为开放功能的人来说，是一个简单的解决方案。它甚至可以设置为通过命令行将模拟功能设置为一个选项，例如将其使用限制为 1 个管理员。

对于仅仅提供选项来限制或禁用该功能作为一种选择所遇到的阻力，我感到很惊讶。例如，在您提供托管服务的过程中，您显然不会根据您的需求选择禁用或限制其使用。

现在，如果我们想要一个直接的选项，系统也可以简单地向用户发送电子邮件，告知他们已被 x 管理员模拟。就像 2FA 一样，它将创建一个开放的层，表明该功能已被使用。用户被模拟时已经知道将使用它来解决问题。

我的“抵抗”是双重的：

• 移除该功能或使其更难访问会提供虚假的安全感
• 当此类功能难以（或更难）访问时，支持人员会找到绕过它的方法，并且共享密码会更糟，因为这不会被记录，密码可以保留，并且密码可能对其他服务有效。

拥有足够访问权限的人也可以阻止发送该电子邮件。
并且每封电子邮件也可能是一个攻击向量（我知道一个具体的例子，一个 Discourse 论坛被一个发送给管理员的虚假“已创建备份”通知所破坏）。

所以您想使用 API 密钥来解锁此功能。现在管理员可以创建 API 密钥，这些密钥赋予他们完全访问权限，当被其他管理员询问为什么他们创建/使用 API 密钥时，他们可以声称是为了进行故障排除。

我们谈论的不是谷歌、脸书或苹果。我们谈论的是 Discourse，它是开源的，并且允许自托管。

这应该是相反的。

我完全理解。

但问题是，为什么在更改信任级别标题时，只需要“一键”操作，而这却意味着需要使用查询浏览器或手动管理数据库？

编辑： 已合并两帖。

这适用于任何事情，甚至是像防坠落这样的安全防护设备。那么，我们是否应该放弃个人防护装备，因为它在使用时会产生一种完全安全的虚假感觉？

选项并非绝对。即使任何加密方案都可以被破解，萨姆也披露了即使是加密插件也并非易事。

嗯，这和本帖的主题无关，但如果你愿意，可以另开一个帖子

IMO，这正是该主题的要点：您能否以及是否应该信任您参与的社区的管理员？

我认为此时的谈话没有太多新内容……恶意的管理员不需要冒充就可以做到这一点，他们也可以发帖并更改所有权。他们可以在不冒充你的情况下编辑你现有的帖子并更改你的设置。他们还可以删除编辑历史记录，以向其他非管理员用户隐藏这一事实。管理员也不需要冒充用户就可以看到他们账户所做的一切，他们也不需要控制台访问权限。

删除冒充按钮并不能让你的账户更安全。冒充功能可以实现的一切，管理员都可以不使用冒充功能来完成。

如果你不信任管理员，担心他们会阅读你的私人消息或更改你发布的内容来伤害你，那么你不应该使用这个网站。