Er det normal å sjekke anonyme brukerer?

[AnonymDiskusjon]

Liten kommentar: Trådstartar er kasta ut på grunn av trolling. Det går sjølvsagt an å diskutere emnet likevel, så eg lar den stå.

Beklager avsporing, men hvordan kan dere vite hvem trådstarter er når vedkommende har huket seg av som anonymbruker? Er dette noe dere bruker å gjøre, å se hvem som står bak AB? Trodde det skulle ha en funksjon og respekteres.

 

Anonymous poster hash: 51f8f...dea

[johanf]

 

Liten kommentar: Trådstartar er kasta ut på grunn av trolling. Det går sjølvsagt an å diskutere emnet likevel, så eg lar den stå.

Beklager avsporing, men hvordan kan dere vite hvem trådstarter er når vedkommende har huket seg av som anonymbruker? Er dette noe dere bruker å gjøre, å se hvem som står bak AB? Trodde det skulle ha en funksjon og respekteres.

 

Anonymous poster hash: 51f8f...dea

 

 

Siden man må være registrert bruker for å kunne poste "anonymt", er det selvsagt mulig å koble den anonyme brukeren til en konto. Enten direkte, eller vha IP-adresser og andre finurlige ting.

[AnonymDiskusjon]

Er dette noe forumets administratorer bruker å gjøre? Å se hvem som står bak AB på alle anonyme tråder?

Anonymous poster hash: 51f8f...dea

[Zeph]

 

Liten kommentar: Trådstartar er kasta ut på grunn av trolling. Det går sjølvsagt an å diskutere emnet likevel, så eg lar den stå.

Beklager avsporing, men hvordan kan dere vite hvem trådstarter er når vedkommende har huket seg av som anonymbruker? Er dette noe dere bruker å gjøre, å se hvem som står bak AB? Trodde det skulle ha en funksjon og respekteres.

 

Anonymous poster hash: 51f8f...dea

 

 

Nei, det er ikkje normalt. Eg sjekka faktisk ikkje brukaren i dette tilfellet, men såg tråden då eg skulle suspendere brukaren. Dvs. eg fann ut at det var ein tullekonto (basert på innlegg frå den vanlege kontoen, ikkje anonyme), søkte opp relaterte treff på IP-adresse, og fann denne.

[tom waits for alice]

Det er en tidsbegremset link mellom brukeren og anonyme poster. Dette for å hindre at slik sjekk skal være fysisk mulig i ettertid, uansett begrunnelse. Når jeg som admin i sin tid innførte denne ordningen, var det en forutsetning. Anonymiteten skal være reell.

 

At vi laget dette systemet, var for å erstatte systemet med "gjesteposting", det vil si at du kunne poste uten å være registrert i det hele tatt. Den muligheten førte til mye spam og trolling. Ved å innføre anonym posting ble vi kvitt mye av dette, samtidig som vi bevarte muligheten for å være anonym når det trengs.

 

Samtidig endret vi forutstningene, slik at det nå var brukeren som valgte om han/hun ville være anonym. Tidligere var gjesteposting bare "tillatt" etter gitte regler, og man kunne risikere at en moderator ikke synes at din situasjon var alvorlig nok og slettet tråden eller posten.

 

Selv brukte jeg aldri muligheten med mindre brukeren selv ba om det. Det vil si tilfeller der en registrert bruker kontaktet oss og sa at "Jeg er brukeren som postet det anonyme innlegget, og nå angrer jeg eller ønsker det endret". Da sjekket vi om det faktisk var riktig bruker. Muligheten er selvsagt også der hvis det snakk om kriminelle handlinger, men da bare hvis ansvarlig redaktør godjenner at slik informasjon utleveres til politiet. (Vi utleverte aldri - i min tid som admin - brukerinfo til andre instanser eller til private, selv om det har kommet forespørsler om det.)

 

Funksjonen er forøvrig bare tilgjengelig for gittt administratorer, ikke moderatorer eller andre.

 

Med forbehold om at noe har endret seg siden den gang.

 

Geir

[*F*]

opprinelig var funksjonen bra, men etter hva jeg indikrekte har fått med meg er den blitt mindre og mindre anonym.

 

Om jeg ikke tar helt feil er nå linken mellom brukerkonto og anonym post nå evigvarende?

For om denne ikke var det ville ikke forumet kunne vite at det var TS som postet lenge etter og tildelt rett hash.

 

Utover det reagerer jeg på at slike poster sjekkes med mindre det er særdeles alvorlig, er det trolling, eller mindre alvorlige inlegg slett heller posten og lev videre.

[Zeph]

opprinelig var funksjonen bra, men etter hva jeg indikrekte har fått med meg er den blitt mindre og mindre anonym.

 

Om jeg ikke tar helt feil er nå linken mellom brukerkonto og anonym post nå evigvarende?

For om denne ikke var det ville ikke forumet kunne vite at det var TS som postet lenge etter og tildelt rett hash.

Den er ikkje evigvarande. Hashen blir bestemt ut frå tråd-ID, brukar-ID, brukar-epost og ein unik forumnøkkel. Dette er for at den same brukaren skal få same hash i den same tråden. Postar vedkomande i ein anna tråd, så vil han få ein ny hash. Her er for øvrig det som står i kontrollpanelet for denne funksjonen:

 

When a post is made with the anonymous function an md5-hash is generated and put into the post content to give readers an idea of whether it's the same user or not. The hash is generated from a string containing the values chosen above (topic title is used when the topic starter is the anonymous user and start date of topic is newer than the timestamp given in setting below).

Linken mellom brukar og anonymt innlegg blir sletta etter ei veke:

 

I tillegg lagres det en link i en egen tabell som knytter posten til den registrerte brukeren.

• Denne linken er bare tilgjengelig for administratorene.
• Denne linken slettes automatisk etter en uke. Den vil kun bli benyttet til å identifisere brukere ved alvorlig misbruk av muligheten for å poste anonymt.

Regler for anonym posting.

 

Utover det reagerer jeg på at slike poster sjekkes med mindre det er særdeles alvorlig, er det trolling, eller mindre alvorlige inlegg slett heller posten og lev videre.

Vel, dei blir ikkje det.

[*F*]

Vel, trådID vet man jo altids, og da er det jo en enkel sak for en administrator å "brutforce" databasen (om det er rett ord i denne sammenhengen) bruker-ID-er og bruker-epost og gjøre dette til formunøkkelen sammsvarer med inlegget.
+ http://en.wikipedia.org/wiki/Rainbow_table

Dersom det er slik du beskriver vil jo endring av epost kunne brukes for at denne metoden ikke skal fungere, men kan også endre epost adresse om man vil ha ny hash

Endret 15. februar 2014 av Evelen!

[TSP]

Vi har en hemmelig «forumnøkkel» som blandes sammen med denne hash-verdien slik at det ikke er mulig for hvem som helst å «bruteforce» denne hash-verdien i etterkant.

 

Jeg anser informasjonen som tapt når det har gått en uke siden en person har brukt AnonymBruker-funksjonen. Jeg kan ikke huske når jeg sist sjekket hvem som har skrevet ett anonymt innlegg på Diskusjon.no.

 

Teoretisk sett er det mulig å bruteforce dette, akkurat slik man teoretisk sett kan «bruteforce» ett passord.

[*F*]

yepp, jeg tenker at dem som sitter med administratortilgang til serveren, eller kanskje til og med bare administratortilgang til forumet har mulighet til dette.

Dette da dere har tilgang til databasen med både epost adresser og brukerkontoer, dermed kan dere "brutforce" ganske enkelt, også mye enklere en å gjøre dette på passord da man ikke trenger tippe med alverdens teng, men trenger bare tabellene med brukernavn og epost adresser som man prøver å kombinere med tråd ID.

 

Ikke at jeg misstenker at dere missbruker denne metoden, men den er tilstedeværende.

 

 

Alternativt kan dere endre passordet på min brukerkonto og så logge inn på brukeren min, dersom dere da poster i en tråd hvor jeg har postet som anonym tidligere vil dere se at hashen er identisk og dermed kunne konkludere med at jeg postet det.

[TSP]

Det finnes andre verktøy som er vesentlig lettere for en administrator med teknisk innsikt å misbruke.

 

Derfor er det naturligvis svært viktig at dere har tillit til administratorene og den tekniske staben. I tillegg til at administratorene trenger tillit til hverandre. Slik er det ved alle diskusjonsfora og steder hvor du legger igjen brukerinformasjon.

 

Jeg har selv brukt anonym-funksjonen og har ingen interesse av at det skulle blitt bruteforcet heller.

[*F*]

Om det er tilfellet er det jo greit, men når man ser Anonyme brukere av og til blir truet med utestengelse sier man samtidig "Det skal ikke så mye til for at vi sjekker hvem du er"

 

EDIT: Og når det er sagt, å sammenlikne anonyme brukeres ip-adresse med registrerte brukeres ipadresse mener jeg dette i like stor grad er mussbruks omså knytte bruker til briker med hash/link.

Endret 15. februar 2014 av Evelen!

[Zeph]

For øvrig, så ser eg på det å sjekke identiteten til ein anonym brukar som eit større problem for meg enn brukaren. Skulle funksjonen bli brukt, kva skal eg eventuelt gjere med informasjonen? I verste fall så finn eg ut noko veldig privat om ein person eg kjenner. Noko eg definitivt ikkje har interesse av. Eg kjenner ein del brukarar på forumet, og er på ingen måte interessert i å finne at ein veldig spesiell tråd er oppretta av nokon eg kjenner. Ei heller andre for den slags skuld. Det er mykje av poenget med funksjonen.

 

Hadde ein administrator sjekka identiteten til eit anonymt innlegg og misbrukt det, så hadde det vore grunn for å fjerne vedkomande frå stillingen.

 

Eg har sjekka identiteten, men det er kun ved snakk om åpen og repetert trolling. Ikkje ein med eit veldig spesielt, seksuelt spørsmål, men tull og tøys. Eit av vilkår for å bruke anonymfunksjonen, er at den ikkje blir brukt til sånt. Enkelttilfelle berre slettar me, men gjentakande tilfelle kan føre til at identiteten blir sjekka. Hadde me ikkje hatt det alternativet, så kunne brukarar spamme så mykje dei vil, med einaste resultat at me slettar.

[*F*]

Men hvordan vet dere da uten å sjekke at det er gjenntakende tilfeller av samme bruker når hash mellom tråder varierer?

[Zeph]

Når det blir spamma det same om og om igjen, i fleire trådar. Me veit sjølvsagt ikkje det før me sjekkar, men på rein spam, så aksepterer brukaren at vedkomande kan bli sjekka.

[*F*]

Da tengte du på spam i direkte betydning, altså reklame "Gå til denne siden for wow gold www..." osv?

[Zeph]

For eksempel, ja. Eller rein tulling.

 

"Jeg har VERDENS STØRSTE... KOM OG SE"

[Emancipate]

Nei, det er ikkje normalt. Eg sjekka faktisk ikkje brukaren i dette tilfellet, men såg tråden då eg skulle suspendere brukaren. Dvs. eg fann ut at det var ein tullekonto (basert på innlegg frå den vanlege kontoen, ikkje anonyme), søkte opp relaterte treff på IP-adresse, og fann denne.

IP-adressen burde jo ikke lagres på anonyme poster, ihvertfall ikke sånn at den kommer opp på søk. Ble vi ikke lovet at den skulle lagres som 0.0.0.0?

[Pop]

Det høres ut som om brukeren ikke er anonym, men avidentifisert siden den er mulig å tilbakeføre til rett id innen 1 uke....

[Zeph]

 

Nei, det er ikkje normalt. Eg sjekka faktisk ikkje brukaren i dette tilfellet, men såg tråden då eg skulle suspendere brukaren. Dvs. eg fann ut at det var ein tullekonto (basert på innlegg frå den vanlege kontoen, ikkje anonyme), søkte opp relaterte treff på IP-adresse, og fann denne.

IP-adressen burde jo ikke lagres på anonyme poster, ihvertfall ikke sånn at den kommer opp på søk. Ble vi ikke lovet at den skulle lagres som 0.0.0.0?

 

 

Korreksjon: Det er ingen kobling med IP-adresse. Veit ikkje heilt korleis eg kom fram til det. Alle innlegg frå AnonymDiskusjon har IP 000.000.000.000.

 

Når det gjeld å brute force eller rote nok i databasen, så er det kanskje mogleg, men det er langt over min evne.

I teorien kunne eg registrert alle anonyme innlegg kvar dag og på den måten alltid visst det, men det har eg ingen interesse av. I databasar med informasjon er det alltid nokon som administrerer dei og har tilgang til forskjellig. Kort sagt så har ein administrator med tilgang til databasen tilgang til det meste på forumet. Passordet trur eg ikkje me kan finne, men det finnes lettare måtar å misbruke brukarane sine kontoar på, om me ville det.