Réflexions sur l'usurpation d'identité d'un utilisateur

Il existe des applications comme Whatsapp et d’autres qui n’ont pas cette fonction et êtes-vous sûr qu’elles le peuvent ou présumez-vous qu’elles le peuvent parce que vous le pouvez dans d’autres applications que vous utilisez ?

Juste un rappel amical de votre modérateur de quartier pour que la discussion reste civile, et généralement calme, posée et maîtrisée. Les fonctionnalités de Debating Discourse ne devraient pas être une expérience tendue.

Pour être tout à fait honnête, je n’aurais pas choisi Discourse comme base de la communauté que j’ai fondée à l’origine si j’avais connu ce bug/cette fonctionnalité.

À mon humble avis, il est inacceptable de tous points de vue de l’avoir activée par défaut ET à un seul clic ou une seule pression de distance.

La liberté et la vie privée sont tout ce qui compte vraiment sur Internet de nos jours. Et j’espère que l’équipe principale pourra revoir le flux de travail car je sais que cela n’a pas été activé pour briser la confiance au sein de Discourse, mais pour de bons cas d’utilisation !

Le fil de discussion, comme l’a dit Jammy, vise une bonne discussion, pas à être impoli ou à prendre des opinions différentes comme des attaques personnelles

Je ne le fais pas, et je n’utilise Mac que pour écouter de la musique ou pour des choses triviales.

Au fait, connaissez-vous une plateforme LMS assez grande nommée Moodle ? Oui, l’usurpation d’identité est l’un des outils. Personne ne s’en plaint. Je peux agir au nom de mes clients sur WordPress.

Donc… Si l’usurpation d’identité est un obstacle rédhibitoire, il ne reste pas beaucoup d’options.

Et vous n’avez même pas encore découvert la fonction « changer le propriétaire d’un message » !

afbeelding371×263 10.1 KB

Blague à part. Vous voulez interdire les couteaux dans tous les foyers parce qu’il est possible de tuer des gens avec. Il ne s’agit pas de l’outil, mais de la façon dont il est utilisé. Si vous faites partie d’une communauté, vous devez faire confiance aux administrateurs, pour de très nombreuses raisons. Si vous ne le pouvez pas, alors vous devez quitter la communauté. C’est dur, mais c’est aussi simple que ça.

Changer une seule ligne dans le code source de Discourse permettrait à un administrateur de collecter silencieusement tous les mots de passe tapés, que diriez-vous de cela ? Vous pouvez supprimer des fonctionnalités autant que vous le souhaitez, mais vous n’avez aucun moyen de vérifier le code qui s’exécute sur le serveur. La confiance est la seule solution à cela.

En tant que personne qui effectue beaucoup de dépannage pour le compte de clients et de leurs utilisateurs, je peux vous dire qu’un « compte de test » ne suffit pas. Il y a tellement d’options et de paramètres qui comptent que l’usurpation d’identité est souvent le seul moyen. Cela dit, nous avons un accord de traitement des données en place qui nous interdit de mésuser de ces fonctionnalités.

Alors, comme vous l’avez dit, cette fonctionnalité est connue pour être utilisée et en choisissant d’utiliser la plateforme, vous l’acceptez.

Vraiment, ce sujet a beaucoup de mérite. Avoir un moyen de désactiver la fonction via l’accès au serveur racine en ligne de commande a parfaitement du sens. Ceux qui veulent utiliser la fonction l’ont disponible pour leur cas d’utilisation spécifique. Ceux qui ne veulent pas que la fonction soit activée peuvent la désactiver. Comme souvent, seul un nombre très limité d’administrateurs sur un site ont un accès root, cela peut bien fonctionner.

Un peu comme nous devons utiliser une ligne de commande pour activer la création de badges personnalisés qui utilisent des scripts, si je me souviens bien.

C’est une solution très simple qui peut satisfaire le point de vue de chacun pour et/ou contre la fonction. Un excellent compromis pour une plateforme de forum ouverte. Par défaut, elle est désactivée avec des instructions claires sur la façon de l’activer ou même de poser la question lors de l’installation pour l’activer ou non, avec les détails sur la façon de l’activer/désactiver via root.

Et si quelqu’un pense que Google, Facebook, Apple et tous les autres ne font pas ce genre de choses, alors je ne sais pas quoi dire…

Donc, une clé API pourrait être utilisée dans ce cas. Si je me souviens bien, je ne suis pas sûr si vous aviez mentionné une solution pour utiliser une API pour que les concepteurs n’aient pas un accès administrateur complet. Mais il y a eu une bonne discussion à ce sujet.

Changer de propriétaire pourrait certainement être utilisé. Mais la fonction ne fonctionne pas, disons, dans la nouvelle fonctionnalité de chat.

Nous ne devrions vraiment pas comparer des pommes et des oranges. Alors que les couteaux n’ont pas d’exigences légales de stockage, les armes à feu. et les munitions en ont. Les armes à feu. et les couteaux ne tuent pas les gens, c’est la personne qui les utilise à cette fin.

Tous les outils peuvent être abusés et il n’y a aucun mal à avoir des mesures de sécurité optionnelles en place.

Dans tout système, il y a toujours un groupe de personnes qui ont suffisamment d’accès et de connaissances pour usurper l’identité d’autres personnes à leur insu ou sans leur consentement.

Tout est une question de confiance et de responsabilité ; vous devez faire confiance à votre équipe d’administrateurs système ou à vos développeurs pour agir de manière responsable.

Dans les systèmes sous mon autorité, s’il existe une fonctionnalité d’« usurpation d’identité d’utilisateur » (que je reconnais comme très utile), nos procédures opérationnelles pour le personnel stipulent qu’elle ne peut être utilisée qu’après avoir informé l’utilisateur de son utilisation et obtenu son consentement. Le non-respect de cette consigne serait considéré comme un motif de licenciement. Comme cela est presque toujours fait pour résoudre un problème, très peu d’utilisateurs ont jamais refusé de nous donner ce consentement.

Nous recevons parfois des questions d’utilisateurs demandant si les modérateurs ou les administrateurs système peuvent lire leurs messages « personnels ». Notre conseil est que tout système peut être compromis ou piraté, alors ne mettez rien dans les messages personnels que vous ne voudriez pas voir rendu public.

Soit dit en passant, nos conseillers juridiques nous disent qu’en cas de procédure de découverte légale, TOUT peut être demandé.

Bien sûr, ils pourraient tout aussi bien le faire que WhatsApp qui prétend le contraire. C’est un problème clair de logiciel propriétaire, vous êtes censé leur faire confiance. Sans moyen de vérifier comme vous le pourriez avec l’open source.

Le père de Linus a interrogé Microsoft sur ce problème, à savoir qu’il n’y avait aucun moyen pour quiconque puisse auditer le code pour s’assurer qu’il n’y avait pas de portes dérobées.

Comme je l’ai déjà expliqué, même si quelque chose est open source, vous n’avez aucun moyen de vérifier quel code s’exécute sur le serveur.

Comment envisagez-vous cela ? Je ne comprends pas comment une clé d’API peut m’aider à dépanner quelque chose qu’un utilisateur voit ou ne voit pas.

Savez-vous ce qui se passe lorsqu’il n’y a pas de fonctionnalité « usurper l’identité de l’utilisateur » ou lorsqu’elle est difficile d’accès ? Le personnel de support recommencera à demander aux utilisateurs leurs mots de passe. Vous avez jeté le bébé avec l’eau du bain.

Non, désolé, mais ce n’est pas ce que je demande (et je ne veux rien).

S’il vous plaît, discutez.

Je ne me moquais de rien. Je cherchais une comparaison et j’ai trouvé un exemple dans les couteaux, qui sont très utiles et aussi très faciles à utiliser à mauvais escient, et pourtant tout le monde accepte qu’ils soient partout.

Vrai, car on peut le modifier avant utilisation.

Je n’ai jamais dit une suppression complète. Une clé d’API pourrait être utilisée pour accorder temporairement l’option lorsque nécessaire pour ceux qui en ont besoin.

Comme indiqué, avoir une option pour le désactiver via l’accès root en ligne de commande est une solution facile pour ceux qui préféreraient ne pas avoir une fonction ouverte. Il pourrait même être fait de telle sorte que la fonction d’usurpation puisse être définie via la ligne de commande comme une option pour en restreindre l’utilisation à 1 administrateur, par exemple.

Je suis surpris de la résistance présentée à simplement avoir des options pour limiter ou désactiver la fonction comme choix. Par exemple, avec votre utilisation de la fourniture de services d’hébergement, vous ne désactiveriez évidemment pas ou ne limiterez même pas son utilisation par choix de vos besoins.

Maintenant, si nous voulons également une option directe, le système pourrait simplement envoyer un e-mail à l’utilisateur indiquant qu’il a été usurpé par l’administrateur x. Comme la 2FA, cela créerait une couche de transparence quant à l’utilisation de la fonction. L’utilisateur dont l’identité a été usurpée était déjà au courant que cela allait être utilisé pour résoudre un problème.

Ma « résistance » est double :

• supprimer la fonctionnalité ou la rendre plus difficile d’accès procure un faux sentiment de sécurité
• lorsque une telle fonctionnalité est difficile (plus) d’accès, le personnel de support trouve un moyen de la contourner, et le partage de mots de passe est bien pire, car cela n’est pas enregistré, les mots de passe peuvent être conservés et les mots de passe peuvent être valides pour d’autres services.

Quelqu’un ayant suffisamment d’accès pourrait également empêcher l’envoi de cet e-mail.
Et chaque e-mail peut également être un vecteur d’attaque (je connais un exemple spécifique d’un forum Discourse qui a été compromis par une fausse notification « sauvegarde créée » envoyée à un administrateur).

Donc, vous voulez utiliser une clé d’API pour déverrouiller cela. Désormais, les administrateurs peuvent créer des clés d’API qui leur donnent un accès complet et, lorsqu’on leur demande par d’autres administrateurs pourquoi ils ont créé / utilisé une clé d’API, ils peuvent prétendre que c’était pour le dépannage.

Nous ne parlons pas de Google, Facebook ou Apple. Nous parlons de Discourse qui est open-source et permet l’auto-hébergement.

C’est censé être le contraire.

Je comprends tout à fait.

Mais la question est de savoir pourquoi est-ce à seulement un clic de distance lorsque la modification du titre des niveaux de confiance implique l’utilisation de l’explorateur de requêtes ou la gestion manuelle de la base de données ?

EDIT : deux messages unifiés.

Cela s’applique à tout, même aux dispositifs de protection de la sécurité comme les antichutes. Devrions-nous donc abandonner les EPI car ils créent un faux sentiment de sécurité totale s’ils sont utilisés ?

Les options ne sont pas des absolus. Simplement des paramètres optionnels pour la tranquillité d’esprit, même si tout peut être contourné. Sam a révélé que, bien que ce ne soit pas facile à faire, même le plugin de chiffrement peut, comme tout système de chiffrement, être brisé.

Ce n’est pas le sujet du fil de discussion, mais vous pouvez en ouvrir un nouveau si vous le souhaitez

Selon moi, c’est le but du sujet : pouvez-vous faire confiance aux administrateurs des communautés auxquelles vous participez et devriez-vous le faire ?

Je ne pense pas qu’il y ait grand-chose de nouveau à retenir de cette conversation à ce stade… un administrateur malveillant n’a pas besoin d’usurper l’identité d’un utilisateur pour faire cela, il pourrait aussi publier un message et en changer le propriétaire. Il pourrait modifier vos publications existantes et changer vos paramètres sans usurper votre identité. Il peut également supprimer l’historique des modifications pour cacher ce fait aux autres utilisateurs non administrateurs. Un administrateur n’a pas non plus besoin d’usurper l’identité d’un utilisateur pour voir tout ce que son compte fait, et il n’a pas non plus besoin d’un accès à la console pour cela.

Supprimer le bouton d’usurpation d’identité ne rend pas votre compte plus sécurisé. Tout ce que permet l’usurpation d’identité peut être fait par un administrateur sans la fonctionnalité d’usurpation d’identité.

Si vous ne pouvez pas faire confiance à un administrateur par crainte qu’il ne lise vos messages personnels ou ne modifie ce que vous publiez pour vous nuire, vous ne devriez pas utiliser le site.