#1087: Segurança da informação nos comentários de usuários offline

Type: BugItem Feature: Messages Tags: asl
ScheduledFor: N/A Assigned to:   Sites:  
Priority: 0 Status: Pending  

Description of the bug

Quando um usuário não logado faz um comentário malicioso com email de um usuário registrado somente o administrador da comunidade pode deletar; O bug é que nem sempre o administrador sabe se é verdade ou não o post deste usuário;

  • Solução:
Todo comentário postado por um usuário não identificado com email de um usuário cadastrado na rede deve virar uma "Tarefa para ser processada", assim quando o usuário logar na rede ele Pode confirmar se aquele comentário foi ele que postou ou se deve Excluir.

  • Futura melhorias:
Todo comentário de usuário não cadastrado no sistema quando enviado deve enviar um email avisando para o email cadastrado, avisando que ele/alguém fez um comentário na rede.

Motivo de média

Esse é um item bug de segurança... dependendo do tamanho da rede não temos como monitorar os comentários, principalmente se uma pessoa faz com email de alguém da rede de forma indevida.

-- ValessioBrito - 11 Jan 2011

Talvez permitir apenas comentários de usuários logados seja uma solução. (tem até um AI sobre isso AI:1132)

-- JoenioCosta - 23 Jan 2011

Sim, é uma solução.. Mas desestimula a participação em rede quando a exigência é ter um cadastro, isso é fato. Agora todos pensam duas vezes antes de se cadastrar em uma rede para somente comentar um artigo.

Por isso algumas redes ou blogs tem adotado uma confirmação prévia/validação do comentário sem registro no portal... Se você postar sem autenticar/ter seu email cadastrado no banco de dados.. vai receber um email com link para ativar o comentário (isso porque existe a possibilidade futura de notificar a replica do comentário);

Agora se você tem cadastro na rede, não precisa enviar email.. porém o comentário não é publicado fica aguardando o processo da Tarefa/verificação... o usuário teria que logar e processar as tarefas de comentários com email dele.

capith.

-- ValessioBrito - 06 May 2011

Um e-mail de confirmação poderia ajudar muito! O comentário só aparece se o e-mail for confirmado. Se não confirmar em uma semana, apaga a tarefa.

Podemos tb usar autenticação em redes populares para identificar o usuário, assim podemos restringir os comentários só para autenticados, mesmo que seja um Id do Twitter, já é alguma identificação e não conflita com outras pessoas da rede ou de fora dela.

-- AurelioAHeckert - 10 May 2011
Add comment
You need to login to be able to comment.
 

ActionItemForm edit

Title Segurança da informação nos comentários de usuários offline
ActionItemType BugItem
Priority Low
Tags asl
Feature Messages
ResponsibleDevelopers
ScheduledFor N/A
AffectsVersion
Status Pending
Ticket SAC:
Topic revision: r16 - 22 Aug 2011, JoenioCosta

irc Talk with Devs Now!

 
Translations: English
Search on Docs:
   
ActionItem Search:

Copyright © 2007-2018 by the Noosfero contributors
Colivre - Cooperativa de Tecnologias Livres