Уикипедия:Разговори: Разлика между версии
Изтрито е съдържание Добавено е съдържание
м не ѝ е тук мястото; вече е в Инкубатора |
|||
Ред 46:
FWIW, зададох [[:m:Talk:CheckUser policy#CU-only accounts and their inactivity?|въпрос в Мета относно възможността проверяващите да имат отделни сметки само за извършване на проверки]], но засега няма коментари.<br><span style="font-family: 'Droid Sans', Calibri, Verdana, sans; color: silver;">— [[User:Iliev|Luchesar]] • <small>[[User talk:Iliev|Б]]/[[Special:Contributions/Iliev|П]]</small></span> 09:08, 14 юли 2020 (UTC)
: Даването на административни права на допълнителната сметка може да е проблем по отношение на сигурността. Ако идеята на допълнителната сметка е по-голяма сигурност, а някой успее да влезе с нея, може да направи много поразии ако тя има и административни права. Ако някой ще си прави отделна сметка само за Checkuser операции, нека тя бъде само за това. --[[Потребител:StanProg|Стан]] ([[Потребител беседа:StanProg|беседа]]) 19:21, 17 юли 2020 (UTC)
:: Това е полезен въпрос. Идеята за отделна сметка ми хрумна спонтанно и не съм непременно я обмислял достатъчно задълбочено. Нека поразсъждаваме всички заедно. Ето каква беше моята логика:
::# Проверяващите имат достъп до относително чувствителна лична информация. Сама по себе си тази информация почти никога не е достатъчна за идентифициране на даден потребител, но би могла да бъде в комбинация с други данни – например достъп до информация от интернет доставчици за ползваните от техните потребители IP адреси. Това е принципно различно – и според мен много по-сериозен потенциален проблем – отколкото правата на администраторите.
::# Използването на двуфакторна автентикация значително ограничава възможностите за ''кражба'' на сметка, извършвано от странична компютърна система, но рискът от ''проникване'' в сметка чрез компрометиране на същата система, на която тази сметка се ползва (просто казано: чрез хакване на компютъра на проверяващия), остава практически непроменен. Ако сметката с достъп до чекюзър инструмента не стои постоянно логната, това дава известна допълнителна защита и по тази линия. Например, дори при инсталиране на кийлогър, с който да бъдат евентуално прехванати пароли за хранилища на пароли от типа на KeePass, а оттам и открадване на паролата за допълнителната сметка на проверяващия, без токена за 2FA тази парола ще остане безполезна. Това обаче ще бъде така, само докато проверяващият все пак не се логне в тази втора сметка (ако до този момент все още не е установил, че компютърът ѝ/му е компрометиран).
::# Именно затова ми се струва логично да се ползва допълнителна сметка за checkuser правата, която да стои постоянно лог''аут''ната, освен ако и само докато се извършват проверки. Това означава, че при други равни условия тази сметка е ''по-малко вероятно'' (може би много по-малко) да бъде компрометирана, и ако въобще бъде, то почти сигурно ще стане ''след компрометиране на основната сметка'' (т.2). Затова и, според мен, няма смисъл да не даваме административни права на допълнителната сметка – не само всички възможни проблеми с административните права са нищожни в сравнение с тези от checkuser, и, най-вече, могат да бъдат върнати обратно, но и практически сигурно е, че ако някой успее да пробие втората сметка, ''вече'' ще е пробил и основната сметка, която има административни права.
::# Всичко това обаче '''може би няма смисъл''', защото информацията, която дава checkuser, може да бъде разкрита – заедно с още много неща – от зловреден JS код, до който имат достъп интерфейсните администратори. Иначе казано, дали има смисъл да инвестираме толкова внимание в сигурността на сметките на проверяващите, ако не правим същото и с интерфейсните администратори – и доколко потенциалните рискове въобще оправдават тези усилия? Тези въпроси ме карат да се замислям дали просто да не махнем това изрично споменаване на допълнителните сметки, още повече, че дори след като писах до пощенския списък на проверяващите, така и не получих коментари по питането си в Мета.
:: <span style="font-family: 'Droid Sans', Calibri, Verdana, sans; color: silver;">— [[User:Iliev|Luchesar]] • <small>[[User talk:Iliev|Б]]/[[Special:Contributions/Iliev|П]]</small></span> 12:16, 19 юли 2020 (UTC)
== Фондация Уикимедия става Мрежов тръст на Уикипедия? ==
| |||