Мысли о том, как имитировать пользователя

Существуют такие приложения, как WhatsApp и другие, у которых нет такой функции. Вы уверены, что они могут это делать, или вы предполагаете это только потому, что можете это сделать в других используемых вами приложениях?

Просто вежливое напоминание от вашего дружелюбного местного модератора: давайте поддерживать обсуждение в вежливой, спокойной и уравновешенной атмосфере. Обсуждение функций Discourse не должно быть напряжённым.

Если быть полностью честным, я бы не выбрал Discourse в качестве основы для созданного мной сообщества, если бы знал об этой ошибке/функции с самого начала.

На мой взгляд, абсолютно неприемлемо, чтобы эта функция была включена по умолчанию и активировалась одним щелчком или касанием.

Свобода и конфиденциальность — это всё, что действительно имеет значение в интернете сегодня. И я надеюсь, что основная команда пересмотрит рабочий процесс, потому что я знаю, что эта функция была включена не для того, чтобы подорвать доверие внутри Discourse, а для полезных сценариев использования!

Как отметил Jammy, эта ветка направлена на конструктивное обсуждение, а не на грубость или восприятие разных мнений как личных

Я не использую их, и Mac я применяю только для прослушивания музыки или решения тривиальных задач.

Кстати, вы знаете довольно крупную платформу LMS под названием Moodle? Да, имперсонация — один из инструментов. Никто не жалуется. Я могу действовать от имени своих клиентов в WordPress.

Так что… Если имперсонация является решающим фактором, то вариантов остаётся не так много.

И вы ещё даже не открыли функцию «смена владельца сообщения»!

afbeelding371×263 10.1 KB

Шутки в сторону. Вы хотите запретить ножи в каждом доме, потому что с их помощью можно убить людей. Дело не в инструменте, а в том, как его используют. Если вы являетесь частью сообщества, вам нужно доверять администраторам, и причин для этого множество. Если вы не можете доверять, значит, вам нужно покинуть сообщество. Это сурово, но всё просто.

Изменение всего одной строки в исходном коде Discourse позволило бы администратору незаметно собирать все введённые пароли. Как вам такой вариант? Вы можете отключать функции сколько угодно, но у вас нет способа проверить код, который выполняется на сервере. Доверие — это единственное решение этой проблемы.

Как человек, который много занимается устранением неполадок от имени клиентов и их пользователей, могу сказать, что «тестовый аккаунт» не решает проблему. Существует так много важных опций и настроек, что имитация действий пользователя часто является единственным выходом. При этом у нас заключено соглашение об обработке данных, которое запрещает нам злоупотреблять этими функциями.

Тогда, как вы и сказали, эта функция, как известно, используется, и, выбирая эту платформу, вы соглашаетесь с этим.

Действительно, эта тема имеет много преимуществ. Наличие способа отключить функцию через командную строку с доступом к корневому серверу имеет полный смысл. Те, кто хочет использовать функцию, смогут применять её в своих конкретных случаях. Те, кто не хочет, чтобы функция была включена, смогут её отключить. Поскольку часто только очень ограниченное число администраторов на сайте имеют доступ root, это может работать эффективно.

Похоже на то, как нам приходится использовать командную строку для включения создания пользовательских значков, использующих скрипты, если я не ошибаюсь.

Это очень простое решение, которое может удовлетворить точку зрения всех — как за, так и против этой функции. Отличный компромисс для платформы открытого форума. По умолчанию включать её не стоит, но предоставить чёткие инструкции по её включению, или даже задать вопрос во время установки: включать её или нет, с подробным описанием того, как включить/отключить её через root.

А если кто-то верит, что Google, Facebook, Apple и все остальные не делают таких вещей, то я не знаю, что сказать…

Так что в таком случае можно было бы использовать API-ключ. Насколько я помню, не уверен, упоминали ли вы решение для использования API дизайнерами, чтобы у них не было полного доступа администратора. Но была хорошая дискуссия на эту тему.

Функция «Смена владельца» определённо могла бы помочь. Но эта функция не работает, например, в новом чате.

Нам действительно не стоит сравнивать несравнимое. Хотя у ножей нет юридических требований к хранению, оружие и боеприпасы — имеют. Оружие и ножи не убивают людей; это делает человек, использующий их с такой целью.

Любыми инструментами можно злоупотреблять, и нет ничего плохого в том, чтобы иметь дополнительные меры безопасности.

В любой системе всегда есть группа людей, обладающих достаточным доступом и знаниями, чтобы имитировать других без их ведома или согласия.

Всё сводится к доверию и ответственности: вы должны доверять старшей административной команде или разработчикам, что они будут действовать ответственно.

В системах, находящихся под моим руководством, если есть функция «имитация пользователя» (с чем я согласен — она очень полезна), наши операционные процедуры для сотрудников предписывают, что её можно использовать только после уведомления пользователя о её применении и получения его согласия. Несоблюдение этого правила рассматривается как основание для увольнения. Поскольку эта функция почти всегда используется для решения проблем, очень немногие пользователи когда-либо отказывались давать нам такое согласие.

Мы периодически получаем от пользователей вопросы о том, могут ли модераторы или системные администраторы читать их «личные» сообщения. Наш совет таков: любую систему можно взломать или обойти, поэтому не отправляйте в личных сообщениях ничего, что вы не хотели бы сделать публичным.

Кстати, наши юридические консультанты сообщают, что в случае судебных процедур раскрытия информации может быть запрошено ВСЁ.

Конечно, они могут это делать, как и WhatsApp, который утверждает обратное. Это явная проблема проприетарного ПО: от вас ожидают, что вы поверите на слово. Нет возможности проверить, как это можно сделать с открытым исходным кодом.

Отец Линуса подверг критическому разбору MS по поводу того, что никто не может проверить код, чтобы убедиться в отсутствии бэкдоров.

Как я уже объяснял, даже если что-то имеет открытый исходный код, у вас нет способа проверить, какой код выполняется на сервере.

Как именно вы это представляете? Я не понимаю, как ключ API может помочь мне устранить неполадки, которые видит или не видит пользователь.

Знаете ли вы, что происходит, когда нет функции «имитация пользователя» или когда доступ к ней затруднен? Сотрудники поддержки снова начнут запрашивать у пользователей их пароли. Вы просто выбросили ребёнка вместе с водой из ванны.

Нет, извините, но я этого не предлагаю (и мне ничего не нужно).

Пожалуйста, обсудите.

Я никого не высмеивал. Я искал аналогию и нашёл пример в ножах: они очень полезны, но их также очень легко использовать неправильно, однако все признают, что они повсюду.

Это верно, так как его можно изменить перед использованием.

Я никогда не говорил о полном удалении. Ключ API можно использовать для временного предоставления этой опции по мере необходимости тем, кто в ней нуждается.

Как уже упоминалось, наличие возможности отключить её через командную строку с доступом root — это простое решение для тех, кто предпочитает, чтобы эта функция не была открытой. Можно даже сделать так, чтобы функцию имперсонации можно было настроить через командную строку, например, ограничив её использование одним администратором.

Меня удивляет сопротивление идее просто предоставить варианты ограничения или отключения этой функции по выбору. Например, при использовании ваших услуг хостинга вы, очевидно, не стали бы отключать или даже ограничивать её использование исходя из своих потребностей.

Теперь, если мы хотим иметь также прямой вариант, система может просто отправлять пользователю уведомление по электронной почте о том, что имперсонация была выполнена администратором X. Как и двухфакторная аутентификация, это создаст дополнительный уровень прозрачности использования функции. При этом пользователь, подвергшийся имперсонации, уже был осведомлён о том, что эта функция будет использована для решения проблемы.

Мое «сопротивление» двояко:

• удаление функции или усложнение доступа к ней создаёт ложное чувство безопасности
• когда такая функциональность становится сложнее (или более трудной) для доступа, сотрудники поддержки находят обходные пути, а обмен паролями становится гораздо хуже, поскольку это не логируется, пароли могут сохраняться, и они могут быть действительны для других сервисов.

Лицо с достаточными правами доступа также может предотвратить отправку этого письма.
К тому же каждое письмо может стать вектором атаки (мне известен конкретный пример форума Discourse, который был взломан через поддельное уведомление «резервная копия создана», отправленное администратору).

Так что вы хотите использовать API-ключ для разблокировки этого. Теперь администраторы могут создавать API-ключи, предоставляющие полный доступ, и когда другие администраторы спрашивают, зачем они создали или использовали такой ключ, они могут заявить, что это было для устранения неполадок.

Мы говорим не о Google, Facebook или Apple. Мы говорим о Discourse, который имеет открытый исходный код и поддерживает самостоятельное размещение.

Должно быть наоборот.

Я это прекрасно понимаю.

Но вопрос в том, почему это доступно в один клик, тогда как изменение заголовка уровней доверия требует использования Query Explorer или ручного управления базой данных?

РЕДАКТИРОВАНИЕ: два поста объединены.

Это относится ко всему, даже к средствам защиты от падения. Значит ли это, что мы должны отказаться от СИЗ, поскольку они создают ложное ощущение полной безопасности при использовании?

Варианты не являются абсолютными. Это просто дополнительные настройки для спокойствия, даже если любую функцию можно обойти. Сэм указал, что, хотя это и не просто, даже плагин шифрования, как и любая схема шифрования, может быть взломан.

Ну, это не суть данной темы, но вы можете создать новую, если хотите

По моему мнению, в этом и суть темы: можно ли и стоит ли доверять администраторам сообществ, в которых вы участвуете?

На данном этапе, думаю, из обсуждения уже мало что нового можно извлечь… Злонамеренный администратор не нуждается в функции имперсонации, чтобы сделать это: он может просто создать пост и изменить его владельца. Он может редактировать ваши существующие сообщения и менять ваши настройки, не имперсонализируя вас. Он также может удалить историю редактирования, чтобы скрыть этот факт от других пользователей, не являющихся администраторами. Администратору также не нужно имперсонализировать пользователя, чтобы видеть всё, что делает его аккаунт, и для этого ему не нужен доступ к консоли.

Удаление кнопки имперсонации никак не повышает безопасность вашего аккаунта. Всё, что позволяет делать функция имперсонации, администратор может сделать и без неё.

Если вы не можете доверять администратору из-за страха, что он прочитает ваши личные сообщения или изменит ваши публикации, чтобы навредить вам, значит, вам не следует пользоваться этим сайтом.