AnonymDiskusjon Skrevet 11. februar 2014 Del Skrevet 11. februar 2014 Liten kommentar: Trådstartar er kasta ut på grunn av trolling. Det går sjølvsagt an å diskutere emnet likevel, så eg lar den stå. Beklager avsporing, men hvordan kan dere vite hvem trådstarter er når vedkommende har huket seg av som anonymbruker? Er dette noe dere bruker å gjøre, å se hvem som står bak AB? Trodde det skulle ha en funksjon og respekteres. Anonymous poster hash: 51f8f...dea Lenke til kommentar
johanf Skrevet 11. februar 2014 Del Skrevet 11. februar 2014 Liten kommentar: Trådstartar er kasta ut på grunn av trolling. Det går sjølvsagt an å diskutere emnet likevel, så eg lar den stå. Beklager avsporing, men hvordan kan dere vite hvem trådstarter er når vedkommende har huket seg av som anonymbruker? Er dette noe dere bruker å gjøre, å se hvem som står bak AB? Trodde det skulle ha en funksjon og respekteres. Anonymous poster hash: 51f8f...dea Siden man må være registrert bruker for å kunne poste "anonymt", er det selvsagt mulig å koble den anonyme brukeren til en konto. Enten direkte, eller vha IP-adresser og andre finurlige ting. Lenke til kommentar
AnonymDiskusjon Skrevet 11. februar 2014 Forfatter Del Skrevet 11. februar 2014 Er dette noe forumets administratorer bruker å gjøre? Å se hvem som står bak AB på alle anonyme tråder? Anonymous poster hash: 51f8f...dea Lenke til kommentar
Zeph Skrevet 11. februar 2014 Del Skrevet 11. februar 2014 Liten kommentar: Trådstartar er kasta ut på grunn av trolling. Det går sjølvsagt an å diskutere emnet likevel, så eg lar den stå. Beklager avsporing, men hvordan kan dere vite hvem trådstarter er når vedkommende har huket seg av som anonymbruker? Er dette noe dere bruker å gjøre, å se hvem som står bak AB? Trodde det skulle ha en funksjon og respekteres. Anonymous poster hash: 51f8f...dea Nei, det er ikkje normalt. Eg sjekka faktisk ikkje brukaren i dette tilfellet, men såg tråden då eg skulle suspendere brukaren. Dvs. eg fann ut at det var ein tullekonto (basert på innlegg frå den vanlege kontoen, ikkje anonyme), søkte opp relaterte treff på IP-adresse, og fann denne. Lenke til kommentar
tom waits for alice Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 Det er en tidsbegremset link mellom brukeren og anonyme poster. Dette for å hindre at slik sjekk skal være fysisk mulig i ettertid, uansett begrunnelse. Når jeg som admin i sin tid innførte denne ordningen, var det en forutsetning. Anonymiteten skal være reell. At vi laget dette systemet, var for å erstatte systemet med "gjesteposting", det vil si at du kunne poste uten å være registrert i det hele tatt. Den muligheten førte til mye spam og trolling. Ved å innføre anonym posting ble vi kvitt mye av dette, samtidig som vi bevarte muligheten for å være anonym når det trengs. Samtidig endret vi forutstningene, slik at det nå var brukeren som valgte om han/hun ville være anonym. Tidligere var gjesteposting bare "tillatt" etter gitte regler, og man kunne risikere at en moderator ikke synes at din situasjon var alvorlig nok og slettet tråden eller posten. Selv brukte jeg aldri muligheten med mindre brukeren selv ba om det. Det vil si tilfeller der en registrert bruker kontaktet oss og sa at "Jeg er brukeren som postet det anonyme innlegget, og nå angrer jeg eller ønsker det endret". Da sjekket vi om det faktisk var riktig bruker. Muligheten er selvsagt også der hvis det snakk om kriminelle handlinger, men da bare hvis ansvarlig redaktør godjenner at slik informasjon utleveres til politiet. (Vi utleverte aldri - i min tid som admin - brukerinfo til andre instanser eller til private, selv om det har kommet forespørsler om det.) Funksjonen er forøvrig bare tilgjengelig for gittt administratorer, ikke moderatorer eller andre. Med forbehold om at noe har endret seg siden den gang. Geir Lenke til kommentar
*F* Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 opprinelig var funksjonen bra, men etter hva jeg indikrekte har fått med meg er den blitt mindre og mindre anonym. Om jeg ikke tar helt feil er nå linken mellom brukerkonto og anonym post nå evigvarende? For om denne ikke var det ville ikke forumet kunne vite at det var TS som postet lenge etter og tildelt rett hash. Utover det reagerer jeg på at slike poster sjekkes med mindre det er særdeles alvorlig, er det trolling, eller mindre alvorlige inlegg slett heller posten og lev videre. Lenke til kommentar
Zeph Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 opprinelig var funksjonen bra, men etter hva jeg indikrekte har fått med meg er den blitt mindre og mindre anonym. Om jeg ikke tar helt feil er nå linken mellom brukerkonto og anonym post nå evigvarende? For om denne ikke var det ville ikke forumet kunne vite at det var TS som postet lenge etter og tildelt rett hash. Den er ikkje evigvarande. Hashen blir bestemt ut frå tråd-ID, brukar-ID, brukar-epost og ein unik forumnøkkel. Dette er for at den same brukaren skal få same hash i den same tråden. Postar vedkomande i ein anna tråd, så vil han få ein ny hash. Her er for øvrig det som står i kontrollpanelet for denne funksjonen: When a post is made with the anonymous function an md5-hash is generated and put into the post content to give readers an idea of whether it's the same user or not. The hash is generated from a string containing the values chosen above (topic title is used when the topic starter is the anonymous user and start date of topic is newer than the timestamp given in setting below). Linken mellom brukar og anonymt innlegg blir sletta etter ei veke: I tillegg lagres det en link i en egen tabell som knytter posten til den registrerte brukeren. Denne linken er bare tilgjengelig for administratorene. Denne linken slettes automatisk etter en uke. Den vil kun bli benyttet til å identifisere brukere ved alvorlig misbruk av muligheten for å poste anonymt. Regler for anonym posting. Utover det reagerer jeg på at slike poster sjekkes med mindre det er særdeles alvorlig, er det trolling, eller mindre alvorlige inlegg slett heller posten og lev videre.Vel, dei blir ikkje det. Lenke til kommentar
*F* Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 (endret) Vel, trådID vet man jo altids, og da er det jo en enkel sak for en administrator å "brutforce" databasen (om det er rett ord i denne sammenhengen) bruker-ID-er og bruker-epost og gjøre dette til formunøkkelen sammsvarer med inlegget.+ http://en.wikipedia.org/wiki/Rainbow_tableDersom det er slik du beskriver vil jo endring av epost kunne brukes for at denne metoden ikke skal fungere, men kan også endre epost adresse om man vil ha ny hash Endret 15. februar 2014 av Evelen! Lenke til kommentar
TSP Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 Vi har en hemmelig «forumnøkkel» som blandes sammen med denne hash-verdien slik at det ikke er mulig for hvem som helst å «bruteforce» denne hash-verdien i etterkant. Jeg anser informasjonen som tapt når det har gått en uke siden en person har brukt AnonymBruker-funksjonen. Jeg kan ikke huske når jeg sist sjekket hvem som har skrevet ett anonymt innlegg på Diskusjon.no. Teoretisk sett er det mulig å bruteforce dette, akkurat slik man teoretisk sett kan «bruteforce» ett passord. Lenke til kommentar
*F* Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 yepp, jeg tenker at dem som sitter med administratortilgang til serveren, eller kanskje til og med bare administratortilgang til forumet har mulighet til dette. Dette da dere har tilgang til databasen med både epost adresser og brukerkontoer, dermed kan dere "brutforce" ganske enkelt, også mye enklere en å gjøre dette på passord da man ikke trenger tippe med alverdens teng, men trenger bare tabellene med brukernavn og epost adresser som man prøver å kombinere med tråd ID. Ikke at jeg misstenker at dere missbruker denne metoden, men den er tilstedeværende. Alternativt kan dere endre passordet på min brukerkonto og så logge inn på brukeren min, dersom dere da poster i en tråd hvor jeg har postet som anonym tidligere vil dere se at hashen er identisk og dermed kunne konkludere med at jeg postet det. Lenke til kommentar
TSP Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 Det finnes andre verktøy som er vesentlig lettere for en administrator med teknisk innsikt å misbruke. Derfor er det naturligvis svært viktig at dere har tillit til administratorene og den tekniske staben. I tillegg til at administratorene trenger tillit til hverandre. Slik er det ved alle diskusjonsfora og steder hvor du legger igjen brukerinformasjon. Jeg har selv brukt anonym-funksjonen og har ingen interesse av at det skulle blitt bruteforcet heller. Lenke til kommentar
*F* Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 (endret) Om det er tilfellet er det jo greit, men når man ser Anonyme brukere av og til blir truet med utestengelse sier man samtidig "Det skal ikke så mye til for at vi sjekker hvem du er" EDIT: Og når det er sagt, å sammenlikne anonyme brukeres ip-adresse med registrerte brukeres ipadresse mener jeg dette i like stor grad er mussbruks omså knytte bruker til briker med hash/link. Endret 15. februar 2014 av Evelen! 1 Lenke til kommentar
Zeph Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 For øvrig, så ser eg på det å sjekke identiteten til ein anonym brukar som eit større problem for meg enn brukaren. Skulle funksjonen bli brukt, kva skal eg eventuelt gjere med informasjonen? I verste fall så finn eg ut noko veldig privat om ein person eg kjenner. Noko eg definitivt ikkje har interesse av. Eg kjenner ein del brukarar på forumet, og er på ingen måte interessert i å finne at ein veldig spesiell tråd er oppretta av nokon eg kjenner. Ei heller andre for den slags skuld. Det er mykje av poenget med funksjonen. Hadde ein administrator sjekka identiteten til eit anonymt innlegg og misbrukt det, så hadde det vore grunn for å fjerne vedkomande frå stillingen. Eg har sjekka identiteten, men det er kun ved snakk om åpen og repetert trolling. Ikkje ein med eit veldig spesielt, seksuelt spørsmål, men tull og tøys. Eit av vilkår for å bruke anonymfunksjonen, er at den ikkje blir brukt til sånt. Enkelttilfelle berre slettar me, men gjentakande tilfelle kan føre til at identiteten blir sjekka. Hadde me ikkje hatt det alternativet, så kunne brukarar spamme så mykje dei vil, med einaste resultat at me slettar. Lenke til kommentar
*F* Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 Men hvordan vet dere da uten å sjekke at det er gjenntakende tilfeller av samme bruker når hash mellom tråder varierer? Lenke til kommentar
Zeph Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 Når det blir spamma det same om og om igjen, i fleire trådar. Me veit sjølvsagt ikkje det før me sjekkar, men på rein spam, så aksepterer brukaren at vedkomande kan bli sjekka. Lenke til kommentar
*F* Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 Da tengte du på spam i direkte betydning, altså reklame "Gå til denne siden for wow gold www..." osv? Lenke til kommentar
Zeph Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 For eksempel, ja. Eller rein tulling. "Jeg har VERDENS STØRSTE... KOM OG SE" Lenke til kommentar
Emancipate Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 Nei, det er ikkje normalt. Eg sjekka faktisk ikkje brukaren i dette tilfellet, men såg tråden då eg skulle suspendere brukaren. Dvs. eg fann ut at det var ein tullekonto (basert på innlegg frå den vanlege kontoen, ikkje anonyme), søkte opp relaterte treff på IP-adresse, og fann denne.IP-adressen burde jo ikke lagres på anonyme poster, ihvertfall ikke sånn at den kommer opp på søk. Ble vi ikke lovet at den skulle lagres som 0.0.0.0? Lenke til kommentar
Pop Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 Det høres ut som om brukeren ikke er anonym, men avidentifisert siden den er mulig å tilbakeføre til rett id innen 1 uke.... Lenke til kommentar
Zeph Skrevet 15. februar 2014 Del Skrevet 15. februar 2014 Nei, det er ikkje normalt. Eg sjekka faktisk ikkje brukaren i dette tilfellet, men såg tråden då eg skulle suspendere brukaren. Dvs. eg fann ut at det var ein tullekonto (basert på innlegg frå den vanlege kontoen, ikkje anonyme), søkte opp relaterte treff på IP-adresse, og fann denne.IP-adressen burde jo ikke lagres på anonyme poster, ihvertfall ikke sånn at den kommer opp på søk. Ble vi ikke lovet at den skulle lagres som 0.0.0.0? Korreksjon: Det er ingen kobling med IP-adresse. Veit ikkje heilt korleis eg kom fram til det. Alle innlegg frå AnonymDiskusjon har IP 000.000.000.000. Når det gjeld å brute force eller rote nok i databasen, så er det kanskje mogleg, men det er langt over min evne. I teorien kunne eg registrert alle anonyme innlegg kvar dag og på den måten alltid visst det, men det har eg ingen interesse av. I databasar med informasjon er det alltid nokon som administrerer dei og har tilgang til forskjellig. Kort sagt så har ein administrator med tilgang til databasen tilgang til det meste på forumet. Passordet trur eg ikkje me kan finne, men det finnes lettare måtar å misbruke brukarane sine kontoar på, om me ville det. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå