Forumet - "Youmeet kan läsa användarnas PM"

"Youmeet kan läsa användarnas PM"

129 0 42
Vilka kan läsa användarnas PM?

Stringburka har skrivit att youmeet kan göra det. Men vad innebär det? Kan Åtta göra det? Om åtta inte kan, vem är det över honom som kan?

Har detta någonsin praktiserats, som i att någon utomstående gått in i användarnas PM och läst?

Spana också in:

Det här kräver en liten teknisk kunskap för att förstå, men jag ska försöka förklara det i korthet.

All information som den här hemsidan består av: texter, poster, trådar, användarnamn, frågor och svar, forumkategorier, PM, o.s.v. sparas i en databas. En databas är egentligen en samling tabeller (precis som i ett Excel-dokument). T.ex. finns en tabell som heter något i stil med "users_pm", där alla PM sparas.

När du går in och läser ett PM så skickas en fråga till databasen som ber om att få alla PM där mottagarID = ditt användarID, och sedan skrivs den informationen ut på sidan.

Utifrån detta är det ganska uppenbart att för att du ska kunna läsa dina PM så måste de sparas i databasen.

När det gäller lösenord så räcker det med att du skriver in ditt lösenord när du registrerar dig, det krypteras (inte rent tekniskt, men det som sparas i databasen är i alla fall inte ditt lösenord) och sparas sedan. När du sedan försöker logga in så krypteras bara det du skriver in, och jämförs med det som är sparat i databasen. Om de är likadana så har du skrivit in rätt lösenord. Alltså behöver vi inte kunna se ditt lösenord för att veta att du har skrivit in rätt.

Men när det gäller PM så måste det vara läsbart för en människa, eftersom du ska kunna läsa det.

Eftersom jag jobbar på Youmeet så måste jag ha tillgång till databasen för att kunna göra mitt jobb. Så rent teoretiskt så skulle jag kunna gå in och läsa folks PM - men i praktiken har jag inget som helst intresse utav det. Den enda gången jag skulle kunna tänka mig att göra det vore om en användare mottagit hotfulla eller på annat sätt ovälkomna PM, och då endast med användarens tillåtelse.

De som inte har direkt tillgång till databasen kan inte läsa användares PM. Så i praktiken är det endast jag och de andra som jobbar på Youmeet. Inga moderatorer, "U", skribenter eller administratörer kan läsa PM (utom jag då).

Det som Stringburka nämnde var någonting som Hampie nämnde för länge sedan, om att Thomas N skulle ha kollat något PM, eller hur det nu var. Men det är i alla fall inget som skett i modern UM-tid.
Åtta:

Det som Stringburka nämnde var någonting som Hampie nämnde för länge sedan, om att Thomas N skulle ha kollat något PM, eller hur det nu var. Men det är i alla fall inget som skett i modern UM-tid.


garanterar du att användarnas PM inte läses av andra än de två parterna som korresponderar, utan deras tillåtelse?



Åtta:

Eftersom jag jobbar på Youmeet så måste jag ha tillgång till databasen för att kunna göra mitt jobb. Så rent teoretiskt så skulle jag kunna gå in och läsa folks PM - men i praktiken har jag inget som helst intresse utav det.


Om du skulle gå in och läsa andras pm, syns det då i databasen att du "varit där" för de andra som har tillgång till denna? Finns det något system som kan kontrollera att informationen inte läses av utomstående?


Eller kan vi bara lita på er goda vilja att låta bli?
framtidstron lever:

garanterar du att användarnas PM inte läses av andra än de två parterna som korresponderar, utan deras tillåtelse?


Jag kan inte garantera vad någon annan än vad jag gör. Men ingen av oss utvecklare har något som helst intresse av att läsa folks PM. Vi har bättre saker för oss. Som att jobba, t.ex.

framtidstron lever:

Om du skulle gå in och läsa andras pm, syns det då i databasen att du "varit där" för de andra som har tillgång till denna?


Jag tror att det finns en access-logg, någonstans. Men det finns inget sätt att se huruvida det var jag, någon på hemsidan som kollade sitt eget PM, eller om det var 1337_h4xx0r_p13. Det finns helt enkelt ingen teknisk möjlighet att göra detta på.

framtidstron lever:

Finns det något system som kan kontrollera att informationen inte läses av utomstående?


Vi är färre än tio personer som har direkt tillgång till databasen, varav jag är den enda som har någon egentlig anknytning till UM. Så det största "skyddet" är att det troligtvis finns hundratusentals PM i databasen, varav vi har intresse av att läsa 0.

Det största problemet med att försöka "skydda" PM:en på något vis är att det måste gå att läsa dem - annars finns det ju ingen poäng med att funktionen existerar. Om de skulle krypteras innan de skickas in i databasen så skulle vi visserligen inte kunna läsa dem, men då måste ni användare istället skapa och hantera en SSH-nyckel, vilket jag misstänker att de flesta inte är så intresserade utav. Om vi skulle hantera nyckeln så finns det ju ingen poäng med krypteringen, eftersom vi också skulle ha tillgång till nyckeln. Vidare tror jag inte att Erik känner för att punga ut X antal tusen kronor på att implementera något som gör funktionen svårare att använda för 99.9999% av våra användare.

Vill du garantera att vi inte kan läsa dina PM så får du kryptera dem själv med hjälp av exempelvis PGP, men det kräver att mottagaren också kan hantera detta.
Åtta:

Men ingen av oss utvecklare har något som helst intresse av att läsa folks PM. Vi har bättre saker för oss. Som att jobba, t.ex.


Har du någonsin läst PM från användarna här genom din tillgång till databasen?

- - - - - - - - - - - - - - - - - Sammanslagning 1 - - - - - - - - - - - - - - - - -


Skentrevlig:

Dold text: ej sarkastisk


det såg mycket sarkastiskt ut [sad]