Es gibt Dinge wie Whatsapp und andere, die diese Funktion nicht haben, und bist du sicher, dass sie das können, oder nimmst du an, dass sie das können, weil du es in anderen Apps, die du benutzt, kannst?
Nur eine höfliche Erinnerung von Ihrem freundlichen Moderator aus der Nachbarschaft, die Diskussion zivilisiert und allgemein ruhig, gelassen und gesammelt zu halten. 
Debating Discourse-Funktionen sollten keine angespannte Erfahrung sein. 
10 „Gefällt mir“
[quote=„kynic, Beitrag:17, Thema:258795″]
Was genau ist das Problem mit der „Impersonate“-Funktion?
[/quote]
Ganz ehrlich, ich hätte Discourse nicht als Basis für die Community gewählt, die ich gegründet habe, wenn ich von diesem Fehler/dieser Funktion gewusst hätte.
Meiner Meinung nach ist es aus jeder Sicht inakzeptabel, dass dies standardmäßig aktiviert ist UND nur einen Klick oder Tipp entfernt ist.
Freiheit und Privatsphäre sind heutzutage das Einzige, was im Internet wirklich zählt. Und ich hoffe, das Kernteam kann den Arbeitsablauf überarbeiten, denn ich weiß, dass dies nicht dazu gedacht war, das Vertrauen in Discourse zu brechen, sondern für gute Anwendungsfälle!
Der Thread, wie Jammy sagte, zielt auf gute Diskussionen ab, nicht darauf, unhöflich zu sein oder unterschiedliche Meinungen persönlich zu nehmen 
[quote=„kynic, Beitrag:23, Thema:258795″]
Dann benutze nicht Google, Facebook, Microsoft
[/quote]
Das tue ich nicht, und ich benutze Mac nur zum Musikhören oder für triviale Dinge.
2 „Gefällt mir“
Übrigens, kennen Sie eine ziemlich große LMS-Plattform namens Moodle? Ja, die Nachahmung ist eines der Werkzeuge. Niemand beschwert sich. Ich kann in WordPress im Namen meiner Kunden handeln.
Wenn die Nachahmung also ein Dealbreaker ist, bleiben nicht mehr viele Optionen übrig.
Und du hast die Funktion „Beitragseigentümerschaft ändern“ noch gar nicht entdeckt! 
Wortspiele beiseite. Du willst Messer in jedem Haushalt verbieten, weil man damit Menschen töten kann. Es geht nicht um das Werkzeug, es geht darum, wie es benutzt wird. Wenn du Teil einer Community bist, musst du den Admins aus vielen, vielen Gründen vertrauen. Wenn du das nicht kannst, musst du die Community verlassen. Es ist hart, aber so einfach ist das.
Wenn man eine Zeile im Discourse-Quellcode ändert, könnte ein Administrator heimlich alle eingegebenen Passwörter sammeln, wie wäre das? Du kannst Funktionen nach Belieben entfernen, aber du hast keine Möglichkeit zu überprüfen, welcher Code auf dem Server läuft. Vertrauen ist die einzige Lösung dafür.
Als jemand, der viele Fehlersuchen im Auftrag von Kunden und deren Benutzern durchführt, kann ich dir sagen, dass ein „Testkonto“ nicht ausreicht. Es gibt so viele Optionen und Einstellungen, die wichtig sind, dass eine Identifizierung oft der einzige Weg ist. Das gesagt, wir haben eine Datenverarbeitungsvereinbarung, die uns verbietet, diese Funktionen missbräuchlich zu nutzen.
8 „Gefällt mir“
Dann, wie Sie sagten, ist diese Funktion nur bekannt und indem Sie sich für die Nutzung der Plattform entscheiden, sind Sie damit einverstanden.
Wirklich, dieses Thema hat viel Substanz. Eine Möglichkeit, die Funktion über den Kommandozeilen-Root-Server-Zugriff zu deaktivieren, ist absolut sinnvoll. Diejenigen, die die Funktion nutzen möchten, haben sie für ihren spezifischen Anwendungsfall verfügbar. Diejenigen, die die Funktion nicht aktiviert haben möchten, können sie ausschalten. Da oft nur eine sehr begrenzte Anzahl von Administratoren auf einer Website Root-Zugriff hat, kann dies gut funktionieren.
Ähnlich wie wir eine Kommandozeile verwenden müssen, um die Erstellung benutzerdefinierter Abzeichen zu aktivieren, die Skripte verwenden, sofern ich mich recht erinnere.
Es ist eine sehr einfache Lösung, die die Standpunkte aller für und/oder gegen die Funktion zufriedenstellen kann. Ein großartiger Kompromiss für eine offene Plattform. Standardmäßig ist sie deaktiviert, mit klaren Anweisungen zum Aktivieren oder sogar mit einer Frage während der Installation, ob sie aktiviert werden soll oder nicht, mit Details zur Aktivierung/Deaktivierung über Root.
3 „Gefällt mir“
Und wenn jemand glaubt, Google, Facebook, Apple und alle anderen machen so etwas nicht, dann weiß ich nicht, was ich sagen soll.. 
Könnte also ein API-Schlüssel in diesem Fall verwendet werden? Soweit ich weiß, bin ich mir nicht sicher, ob Sie eine Lösung für die Verwendung einer API für Designer erwähnt haben, damit diese keinen vollständigen Admin-Zugriff haben. Aber es gab eine gute Diskussion darüber.
Besitz ändern könnte sicherlich verwendet werden. Aber die Funktion funktioniert im neuen Chat-Feature nicht.
Wir sollten wirklich keine Äpfel und Birnen vergleichen. Während Messer keine gesetzlichen Aufbewahrungsanforderungen haben, haben Waffen und Munition. Waffen und Messer töten keine Menschen, es ist die Person, die sie zu diesem Zweck benutzt.
Jedes Werkzeug kann missbraucht werden, und es schadet nicht, optionale Schutzvorrichtungen zu haben.
1 „Gefällt mir“
In jedem System gibt es immer eine Gruppe von Personen, die über genügend Zugriff und Wissen verfügen, um sich ohne deren Wissen oder Zustimmung als andere auszugeben.
Es kommt auf Vertrauen und Verantwortung an. Sie müssen Ihrem Senior-Admin-Team oder Ihren Entwicklern vertrauen, dass sie verantwortungsbewusst handeln.
In den Systemen, die meiner Autorität unterliegen, besagen unsere Betriebsverfahren für Mitarbeiter, wenn es eine Funktion zum „Benutzer impersonieren“ gibt (was ich für sehr hilfreich halte), dass diese nur verwendet werden darf, nachdem der Benutzer über die Verwendung informiert und dessen Zustimmung eingeholt wurde. Nichteinhaltung würde als Kündigungsgrund betrachtet werden. Da dies fast immer zur Lösung eines Problems geschieht, haben sich nur sehr wenige Benutzer jemals geweigert, uns diese Zustimmung zu geben.
Wir erhalten gelegentlich Fragen von Benutzern, ob Moderatoren oder Sysops ihre „persönlichen“ Nachrichten lesen können. Unser Rat ist, dass jedes System durchbrochen oder gehackt werden kann. Hinterlassen Sie daher in persönlichen Nachrichten nichts, was Sie nicht öffentlich machen möchten.
Übrigens teilen uns unsere Rechtsberater mit, dass im Falle von rechtlichen Ermittlungsverfahren ALLES angefordert werden kann.
4 „Gefällt mir“
Sicher, sie könnten es genauso gut wie WhatsApp tun, das etwas anderes behauptet. Dies ist ein klares Problem mit Closed-Source-Software, bei der man deren Aussagen vertrauen muss. Ohne die Möglichkeit zur Überprüfung, wie man es bei Open Source könnte.
Linus’ Vater hat Microsoft wegen dieses Problems, dass niemand den Code überprüfen kann, um sicherzustellen, dass keine Hintertüren vorhanden sind, gegrillt.
Wie ich bereits erklärt habe, haben Sie selbst dann keine Möglichkeit zu überprüfen, welcher Code auf dem Server läuft, wenn etwas Open Source ist.
Wie stellen Sie sich das vor? Ich verstehe nicht, wie ein API-Schlüssel mir helfen kann, etwas zu beheben, das ein Benutzer sieht oder nicht sieht.
Wissen Sie, was passiert, wenn es keine Funktion zum „Benutzer impersonieren“ gibt oder wenn sie schwer zugänglich ist? Support-Mitarbeiter werden Benutzer wieder nach ihren Passwörtern fragen. Sie haben das Kind mit dem Bade ausgeschüttet.
5 „Gefällt mir“
[quote=„Richard – Communiteq, Beitrag: 30, Thema: 258795, Benutzername: RGJ“]Sie wollen Messer in jedem Haushalt verbieten, weil man damit Menschen töten kann.
[/quote]
Nein, tut mir leid, aber das ist nicht das, wonach ich frage (und ich will nichts).
Bitte diskutieren Sie.
1 „Gefällt mir“
Ich habe nichts verspottet. Ich habe nach einem Vergleich gesucht und ein Beispiel bei Messern gefunden, die sehr nützlich und auch sehr leicht missbräuchlich zu verwenden sind, und doch akzeptieren alle, dass sie überall vorhanden sind.
2 „Gefällt mir“
Stimmt, da man ihn vor der Verwendung ändern kann.
Habe nie eine vollständige Entfernung gesagt. Ein API-Schlüssel könnte verwendet werden, um die Option vorübergehend zu gewähren, wenn sie für diejenigen benötigt wird, die sie brauchen.
Wie bereits erwähnt, ist die Möglichkeit, sie über die Befehlszeile mit Root-Zugriff zu deaktivieren, eine einfache Lösung für diejenigen, die sie nicht als offene Funktion haben möchten. Sie könnte sogar so eingerichtet werden, dass die Imitationsfunktion über die Befehlszeile als Option festgelegt werden kann, um ihre Verwendung z. B. auf einen Administrator zu beschränken.
Ich bin überrascht über den Widerstand, der gegen die einfache Bereitstellung von Optionen zur Einschränkung oder Deaktivierung der Funktion als Wahlmöglichkeit vorgebracht wird. Zum Beispiel würden Sie bei Ihrer Nutzung von Hosting-Diensten die Funktion aus Gründen Ihres Bedarfs offensichtlich nicht deaktivieren oder einschränken.
Wenn wir nun auch eine direkte Option wünschen, könnte das System dem Benutzer einfach per E-Mail mitteilen, dass er von Administrator x imitiert wurde. Wie bei 2FA würde dies eine Ebene der Offenheit schaffen, dass die Funktion genutzt wurde. Der imitierte Benutzer wusste bereits, dass sie zur Lösung eines Problems verwendet werden würde.
1 „Gefällt mir“
Mein „Widerstand“ ist zweigeteilt:
- Das Entfernen der Funktion oder das Erschweren des Zugriffs darauf vermittelt ein falsches Sicherheitsgefühl
- Wenn eine solche Funktionalität schwer(er) zugänglich ist, finden Support-Mitarbeiter einen Weg, und das Teilen von Passwörtern ist viel schlimmer, da dies nicht protokolliert wird, Passwörter herumliegen können und Passwörter für andere Dienste gültig sein können.
Jemand mit ausreichend Zugriff könnte auch verhindern, dass diese E-Mail gesendet wird.
Und jede E-Mail kann auch ein Angriffsvektor sein (ich kenne ein spezifisches Beispiel für ein Discourse-Forum, das durch eine gefälschte Benachrichtigung „Backup erstellt“ kompromittiert wurde, die an einen Administrator gesendet wurde).
Sie möchten also einen API-Schlüssel verwenden, um dies freizuschalten. Jetzt können Administratoren API-Schlüssel erstellen, die ihnen vollen Zugriff gewähren, und wenn sie von anderen Administratoren gefragt werden, warum sie einen API-Schlüssel erstellt/verwendet haben, können sie behaupten, es sei zur Fehlerbehebung gewesen.
1 „Gefällt mir“
Wir sprechen nicht über Google, Facebook oder Apple. Wir sprechen über Discourse, das Open-Source ist und Self-Hosting erlaubt.
Das sollte das Gegenteil sein.
Das verstehe ich vollkommen.
Aber die Frage ist, warum ist es nur einen Klick entfernt, wenn die Änderung des Titels von Vertrauensstufen die Verwendung des Query Explorers oder die manuelle Verwaltung der Datenbank impliziert?
EDIT: zwei Beiträge vereinigt.
1 „Gefällt mir“
Das gilt für alles, sogar für Sicherheitseinrichtungen wie Absturzsicherungen. Sollten wir also PSA aufgeben, da sie bei der Verwendung ein falsches Gefühl der völligen Sicherheit erzeugt?
Optionen sind keine Absolutheiten. Einfach optionale Einstellungen für Seelenfrieden, auch wenn alles umgangen werden kann. Sam hat offengelegt, dass selbst das Verschlüsselungs-Plugin, auch wenn es nicht einfach ist, wie jedes Verschlüsselungsschema geknackt werden kann.
3 „Gefällt mir“
Nun, das ist nicht der Punkt des Threads, aber Sie können gerne einen neuen eröffnen
Meiner Meinung nach ist das der Sinn des Themas: Kann und sollte man den Admins der Communities, an denen man teilnimmt, vertrauen?
Ich glaube nicht, dass aus dem Gespräch im Moment viel Neues hervorgeht … ein böswilliger Administrator muss sich nicht verstellen, um dies zu tun, er könnte auch einen Beitrag erstellen und dessen Eigentümer ändern. Er könnte Ihre vorhandenen Beiträge bearbeiten und Ihre Einstellungen ändern, ohne sich als Sie auszugeben. Er kann auch den Bearbeitungsverlauf löschen, um dies anderen Nicht-Administratoren zu verbergen. Ein Administrator muss sich auch nicht als Benutzer ausgeben, um alles zu sehen, was dessen Konto tut, und er benötigt dafür auch keinen Konsolenzugriff.
Das Entfernen der Schaltfläche zum Verstellen tut nichts, um Ihr Konto sicherer zu machen. Alles, was das Verstellen ermöglicht, kann ein Administrator auch ohne die Funktion zum Verstellen tun.
Wenn Sie einem Administrator nicht vertrauen können, aus Angst, dass er Ihre persönlichen Nachrichten liest oder Ihre Beiträge verändert, um Ihnen zu schaden, sollten Sie die Seite nicht nutzen.
10 „Gefällt mir“