Pensieri sull'impersonificazione dell'utente

Ci sono cose come Whatsapp e altre che non hanno quella funzione e sei sicuro che possano o presumi che possano perché puoi in altre app che usi?

Solo un gentile promemoria dal vostro moderatore di quartiere per mantenere la discussione civile, e generalmente tranquilla, calma e raccolta. Le funzionalità di Debating Discourse non dovrebbero essere un’esperienza conflittuale.

Ad essere totalmente onesto, non avrei scelto Discourse come base della community che ho fondato la prima volta se avessi conosciuto questo bug/funzionalità.

IMHO è inaccettabile da ogni punto di vista che sia abilitato per impostazione predefinita E a un solo clic o tocco di distanza.

Libertà e privacy sono tutto ciò che conta veramente su Internet in questi giorni. E spero che il team principale possa rivedere il flusso di lavoro perché so che non è stato abilitato per rompere la fiducia all’interno di Discourse, ma per buoni casi d’uso!

Il thread, come ha detto Jammy, punta a buone discussioni, non a essere maleducati o a prendere opinioni diverse come personali

Non lo faccio, e uso Mac solo per ascoltare musica o per cose banali.

Tra l’altro, conosci una piattaforma LMS piuttosto grande chiamata Moodle? Sì, l’impersonificazione è uno degli strumenti. Nessuno si lamenta. Posso agire per conto dei miei clienti su WordPress.

Quindi… Se l’impersonificazione è un problema insormontabile, non restano molte opzioni.

E non hai ancora scoperto la funzione “cambia proprietà del post”!

afbeelding371×263 10.1 KB

Scherzi a parte. Vuoi vietare i coltelli in ogni casa perché è possibile uccidere persone con essi. Non si tratta dello strumento, ma di come viene utilizzato. Se fai parte di una community, devi fidarti degli amministratori, per moltissime ragioni. Se non puoi, allora devi lasciare la community. È dura ma è così semplice.

Cambiare una riga nel codice sorgente di Discourse permetterebbe a un amministratore di raccogliere silenziosamente tutte le password digitate, che ne dici? Puoi rimuovere le funzionalità quanto vuoi, ma non hai modo di verificare il codice che viene eseguito sul server. La fiducia è l’unica soluzione a questo.

Come qualcuno che fa molte risoluzioni di problemi per conto di clienti e dei loro utenti, posso dirti che un “account di prova” non è sufficiente. Ci sono così tante opzioni e impostazioni che contano che l’impersonificazione è spesso l’unico modo. Detto questo, abbiamo un accordo sul trattamento dei dati in vigore che ci proibisce di abusare di queste funzionalità.

Allora, come hai detto, questa funzionalità è nota per essere in uso e scegliendo di utilizzare la piattaforma si accetta.

Davvero questo argomento ha molto merito. Avere un modo per disabilitare la funzione tramite accesso al server root dalla riga di comando ha perfettamente senso. Coloro che vogliono usare la funzione ce l’hanno a disposizione per il loro caso d’uso specifico. Coloro che non vogliono che la funzione sia abilitata possono disattivarla. Poiché spesso solo un numero molto limitato di amministratori su un sito ha accesso root, può funzionare bene.

Molto simile a come dobbiamo usare una riga di comando per abilitare la creazione di badge personalizzati che utilizzano script, se non erro.

È una soluzione molto semplice che può accontentare il punto di vista di tutti a favore e/o contro la funzione. Un ottimo compromesso per una piattaforma di forum aperta. Di default disattivarla con chiare istruzioni su come attivarla o addirittura porre la domanda durante l’installazione se attivarla o meno, con i dettagli su come abilitare/disabilitare tramite root.

E se qualcuno crede che Google, Facebook, Apple e tutti gli altri non facciano queste cose, allora non so cosa dire..

Quindi una chiave API potrebbe essere utilizzata in quel caso. Se non ricordo male, non sono sicuro se avessi menzionato una soluzione per utilizzare un’API per i designer in modo che non abbiano accesso completo all’amministratore. Ma c’è stata una buona discussione a riguardo.

Il cambio di proprietà potrebbe certamente essere utilizzato. Ma la funzione non funziona, diciamo, nella nuova funzione di chat.

Non dovremmo davvero fare paragoni tra mele e arance. Mentre i coltelli non hanno requisiti legali di conservazione, le pistole e le munizioni sì. Le pistole e i coltelli non uccidono le persone, è la persona che li usa a tale scopo.

Qualsiasi strumento può essere abusato e non c’è danno nell’avere delle protezioni opzionali in atto.

In ogni sistema c’è sempre un gruppo di persone che ha accesso e conoscenza sufficienti per impersonare altri senza la loro conoscenza o consenso.

Si riduce alla fiducia e alla responsabilità, devi fidarti del tuo team di amministratori senior o degli sviluppatori affinché agiscano in modo responsabile.

Nei sistemi sotto la mia autorità, se esiste una funzione di “impersonificazione utente” (che concordo essere molto utile), le nostre procedure operative per il personale affermano che può essere utilizzata solo dopo aver informato l’utente del suo utilizzo e aver ottenuto il consenso di tale utente. La mancata osservanza sarebbe considerata un motivo di licenziamento. Poiché viene quasi sempre fatto per risolvere un problema, pochissimi utenti hanno mai rifiutato di darci tale consenso.

Vediamo occasionali domande da parte degli utenti sul fatto che moderatori o sysop possano leggere i loro messaggi “personali”. Il nostro consiglio è che qualsiasi sistema può essere violato o hackerato, quindi non inserire nulla nei messaggi personali che non vorresti fosse reso pubblico.

A proposito, i nostri consulenti legali ci dicono che in caso di procedure di discovery legale, TUTTO può essere richiesto.

Certo, potrebbero farlo come WhatsApp, che afferma il contrario. Questo è un chiaro problema di software closed source, ti aspetti che si fidino della loro parola. Senza un modo per verificarlo come potresti fare con l’open source.

Il padre di Linus ha criticato Microsoft per non aver permesso a nessuno di controllare il codice per assicurarsi che non ci fossero backdoor.

Come ho già spiegato, anche se qualcosa è open source, non hai modo di verificare quale codice è in esecuzione sul server.

Come te lo immagini? Non capisco come una chiave API possa aiutarmi a risolvere i problemi di qualcosa che un utente vede o non vede.

Sai cosa succede quando non c’è una funzione “impersonare utente” o quando è difficile accedervi? Il personale di supporto ricomincerà a chiedere agli utenti le loro password. Hai buttato via il bambino con l’acqua sporca.

No, mi dispiace ma non è quello che sto chiedendo (e non voglio nulla).

Per favore, discutiamo.

Non stavo ridicolizzando nulla. Stavo cercando un paragone e ho trovato un esempio nei coltelli, che sono molto utili e anche molto facili da usare impropriamente, eppure tutti accettano che siano ovunque.

Vero, poiché si può alterare prima dell’uso.

Non ho mai detto una rimozione completa. Una chiave API potrebbe essere utilizzata per conferire temporaneamente l’opzione quando necessario a coloro che ne hanno bisogno.

Come affermato, avere un’opzione per disabilitarla tramite accesso root dalla riga di comando è una soluzione semplice per coloro che preferirebbero non averla come funzione aperta. Potrebbe anche essere fatto in modo che la funzione di impersonificazione possa essere impostata tramite riga di comando come opzione per limitarne l’uso a 1 amministratore, ad esempio.

Sono sorpreso dalla resistenza presentata nel semplicemente avere opzioni per limitare o disabilitare la funzione come scelta. Ad esempio, con il tuo utilizzo di fornire servizi di hosting, ovviamente non disabiliteresti o limiteresti nemmeno il suo utilizzo per scelta delle tue esigenze.

Ora, se vogliamo anche un’opzione diretta, il sistema potrebbe semplicemente inviare un’e-mail all’utente informandolo che è stato impersonato da x admin. Come il 2FA, creerebbe un livello di trasparenza sull’uso della funzione. A cui l’utente impersonato era già a conoscenza che sarebbe stata utilizzata per risolvere un problema.

La mia “resistenza” è duplice:

• rimuovere la funzionalità o renderla più difficile da accedere fornisce un falso senso di sicurezza
• quando tale funzionalità è difficile (o più difficile) da accedere, il personale di supporto trova il modo di aggirarla e la condivisione delle password è molto peggio, poiché non viene registrata, le password possono rimanere in giro e le password possono essere valide per altri servizi.

Qualcuno con accesso sufficiente potrebbe anche impedire l’invio di tale email.
E ogni email può essere anche un vettore di attacco (conosco un esempio specifico di un forum Discourse che è stato compromesso da una finta notifica “backup creato” inviata a un amministratore).

Quindi vuoi usare una chiave API per sbloccare questo. Ora gli amministratori possono creare chiavi API che danno loro pieno accesso e, quando richiesto da altri amministratori sul motivo per cui hanno creato/utilizzato una chiave API, possono affermare che era per la risoluzione dei problemi.

Non stiamo parlando di Google, Facebook o Apple. Stiamo parlando di Discourse, che è open-source e permette l’auto-hosting.

Questo dovrebbe essere l’opposto.

Lo capisco perfettamente.

Ma la domanda è perché è a portata di clic quando la modifica del titolo dei livelli di fiducia implica l’uso di query explorer o la gestione manuale del database?

EDIT: due post unificati.

Questo vale per qualsiasi cosa, anche per i dispositivi di protezione di sicurezza come i dispositivi anticaduta. Dovremmo quindi abbandonare i DPI perché creano un falso senso di sicurezza completa se utilizzati?

Le opzioni non sono assolute. Semplicemente impostazioni opzionali per la tranquillità, anche se qualsiasi cosa può essere aggirata. Sam ha rivelato che, sebbene non sia facile da fare, anche il plugin di crittografia può, come qualsiasi schema di crittografia, essere violato.

Beh, non è questo il punto della discussione, ma puoi aprirne una nuova se vuoi

IMO questo è il punto dell’argomento: ti puoi fidare degli amministratori delle community a cui partecipi e dovresti fidarti?

Non credo che ci sia molto di nuovo in questa conversazione a questo punto… un amministratore malintenzionato non ha bisogno di impersonare per fare questo, potrebbe anche fare un post e cambiarne la proprietà. Potrebbe modificare i tuoi post esistenti e cambiare le tue impostazioni senza impersonarti. Può anche eliminare la cronologia delle modifiche per nascondere questo fatto ad altri utenti non amministratori. Un amministratore non ha nemmeno bisogno di impersonare un utente per vedere tutto ciò che il suo account fa, e non ha nemmeno bisogno di accesso alla console per questo.

Rimuovere il pulsante di impersonificazione non rende il tuo account più sicuro. Tutto ciò che l’impersonificazione abilita può essere fatto da un amministratore senza la funzionalità di impersonificazione.

Se non ti fidi di un amministratore per paura che legga i tuoi messaggi personali o alteri ciò che pubblichi per danneggiarti, non dovresti usare il sito.