[Administration] un moyen d'identification lors de tentative d'auto-suppression
+2
MlleAlys
IvyDTyler
6 participants
Forum gratuit : Le forum des forums actifs :: Divers :: Suggestions / Améliorations :: Vos suggestions pour vos forums (sondages) :: Suggestions refusées
Page 1 sur 1 • Partagez
Êtes-vous pour ou contre ?
[Administration] un moyen d'identification lors de tentative d'auto-suppression
Bien le bonjour !
Je viens vous parler aujourd'hui de sécurité sur nos forums, lors de tentatives d'auto-suppression de comptes. Aujourd'hui, une personne a essayé d'auto-supprimer un compte du staff modérateur (compte PNJ appartenant au forum rpg et non personnel) et nous pensons par logique (puisqu'il faut le mdp) qu'il s'agit d'un ancien membre du staff. Sauf que la personne ne devait pas s'attendre à ce que les mails aient été changés entre temps donc c'est moi qui ait reçu ce mail.
Dans le mail, il n'y avait aucune information contrairement à d'autres sites comme par exemple facebook, pour tenter d'identifier la personne ayant essayé de supprimer notre compte. D'un point de vue sécurité, je vous avouerai trouver étrange que seul un mot de passe soit possible pour supprimer un compte tout entier, sachant qu'en plus ces comptes ne peuvent pas être réactivés derrière. Si quelqu'un se fait supprimer son compte par un tiers et perd ainsi tout cela peut être dangereux sans savoir d'où ça vient, d'autant plus lorsqu'on parle de compte administrateur ou modérateur ayant une incidence sur notre forum ou/et sur nos membres.
Sur facebook lorsque cela arrive nous recevons un mail mais avec une adresse ip, un moyen de savoir si nous avons ou non été piratés, ici nous recevons juste un mail pour cliquer et voir si on peut supprimer le compte. Si je conçois que ça peut être avantageux pour beaucoup d'avoir juste cette démarche... dans d'autres cas je trouve ça bien léger.
Je mentionne voir l'ip mais cela peut être un autre moyen d'identifier une personne, aussi pour lorsque nous souhaitons poser une plainte ou main courante à l'égard de quelqu'un pour harcèlement ou pour préjudice et pouvoir prouver ce qu'il se passe, autant que pour comprendre ce qu'il se passe directement. Dans le cas où nous avons tout du moins chance de voir que quelqu'un essaie de supprimer un de nos compte via le mail et s'il ne serait pas tant de remodifier tous nos mails et mots de passe pour éviter le piratage ou suppression pour de bon.
Merci.
Je viens vous parler aujourd'hui de sécurité sur nos forums, lors de tentatives d'auto-suppression de comptes. Aujourd'hui, une personne a essayé d'auto-supprimer un compte du staff modérateur (compte PNJ appartenant au forum rpg et non personnel) et nous pensons par logique (puisqu'il faut le mdp) qu'il s'agit d'un ancien membre du staff. Sauf que la personne ne devait pas s'attendre à ce que les mails aient été changés entre temps donc c'est moi qui ait reçu ce mail.
Dans le mail, il n'y avait aucune information contrairement à d'autres sites comme par exemple facebook, pour tenter d'identifier la personne ayant essayé de supprimer notre compte. D'un point de vue sécurité, je vous avouerai trouver étrange que seul un mot de passe soit possible pour supprimer un compte tout entier, sachant qu'en plus ces comptes ne peuvent pas être réactivés derrière. Si quelqu'un se fait supprimer son compte par un tiers et perd ainsi tout cela peut être dangereux sans savoir d'où ça vient, d'autant plus lorsqu'on parle de compte administrateur ou modérateur ayant une incidence sur notre forum ou/et sur nos membres.
Sur facebook lorsque cela arrive nous recevons un mail mais avec une adresse ip, un moyen de savoir si nous avons ou non été piratés, ici nous recevons juste un mail pour cliquer et voir si on peut supprimer le compte. Si je conçois que ça peut être avantageux pour beaucoup d'avoir juste cette démarche... dans d'autres cas je trouve ça bien léger.
Je mentionne voir l'ip mais cela peut être un autre moyen d'identifier une personne, aussi pour lorsque nous souhaitons poser une plainte ou main courante à l'égard de quelqu'un pour harcèlement ou pour préjudice et pouvoir prouver ce qu'il se passe, autant que pour comprendre ce qu'il se passe directement. Dans le cas où nous avons tout du moins chance de voir que quelqu'un essaie de supprimer un de nos compte via le mail et s'il ne serait pas tant de remodifier tous nos mails et mots de passe pour éviter le piratage ou suppression pour de bon.
Merci.
Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression
Bonjour,
Je n'en comprends pas exactement l'intérêt :
A partir du moment où on reçoit un mail qui demande de valider la suppression du compte, alors qu'on en a aucunement fait la démarche, c'est qu'il y a eu "piratage" non ?
Pour supprimer un compte, la personne doit avoir accès au compte en question (pseudo + mdp) et également à la boîte mail (adresse mail + mdp (voire plus si le service propose une sécurité supplémentaire du genre code sur le téléphone dès que la connexion parait inhabituelle))...
Alors dans le cas d'un compte partagé, j'imagine que c'est un risque puisque les 3 premières infos sont déjà connues (il ne reste plus que la boite mail à "pirater"), mais dans le cas d'un compte "normal", ça ne me parait pas si évident que ça ?
Je n'en comprends pas exactement l'intérêt :
A partir du moment où on reçoit un mail qui demande de valider la suppression du compte, alors qu'on en a aucunement fait la démarche, c'est qu'il y a eu "piratage" non ?
Pour supprimer un compte, la personne doit avoir accès au compte en question (pseudo + mdp) et également à la boîte mail (adresse mail + mdp (voire plus si le service propose une sécurité supplémentaire du genre code sur le téléphone dès que la connexion parait inhabituelle))...
Alors dans le cas d'un compte partagé, j'imagine que c'est un risque puisque les 3 premières infos sont déjà connues (il ne reste plus que la boite mail à "pirater"), mais dans le cas d'un compte "normal", ça ne me parait pas si évident que ça ?
MlleAlys- Membre actif
- Messages : 5971
Inscrit(e) le : 12/09/2012
Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression
Bonsoir
J’ai contacté les seules personnes ayant eu accès à ce mot de passe et aucune n’a essayé de supprimer ledit compte, donc nous ignorons d’où cela vient, une preuve avec l’ip pour confirmer qui a fait la démarche aiderait donc à confirmer. Et donc comment réagir derrière plutôt que faire face à .. rien justement haha.
Si c’est vous qui faites la démarche alors aucun problème, dans le cas présent où nous recevons un mail que quelqu’un essaie de nous "pirater" il serait bon de savoir d’où ça vient. Surtout que supprimer un compte est très facile, le réactiver impossible (en soit tant mieux pour les personnes qui veulent supprimer leur compte volontairement, dans notre cas où on veut nous supprimer des comptes staff... ça paraît limite trop simple).
Je pense l'avoir hélas mal exprimé mais ma demande était simplement de, à l'instar de facebook ou gmail (pour des exemples populaires / facilement accessible) que l'on puisse avoir une trace dans ces moments de ce qu'il se passe, comme dis, si vous faites la démarche par vous-même cette information ne vous sera pas utile, pour nous qui risquons de perdre d'autres comptes (surtout dans ce cas où visiblement aucune des deux autres personnes n'est à l'origine de la suppression (ou si une l'est, avoir la confirmation directe)) savoir comment réagir directement. S'il faut donc retirer quelqu'un du staff qui essaie de saboter ou si ce n'est pas quelqu'un d'autre encore, etc. Mais sinon oui vu ce qui est demandé, impossible que ce soit une erreur en tout cas.
J'ai été très surprise quand j'ai reçu ce mail cet après-midi, nous nous sommes demandés si la personne n'espérait pas supprimer le compte si facilement ou si un autre mail lié au compte n'était pas espéré (puisque nous avons changés les adresses mails). Mais si la personne a justement le mot de passe pour l'auto suppression, il l'aurait également pour se connecter au forum et modifier / supprimer des choses mais ça c'est, j'imagine, un autre sujet (qui avait déjà été relevé il me semble ? avec une suggestion d'authentification à multiples facteurs ?). On a eu "la chance" qu'il n'ait pas essayé de se connecter mais du coup, on fait juste face au vide.
J’ai contacté les seules personnes ayant eu accès à ce mot de passe et aucune n’a essayé de supprimer ledit compte, donc nous ignorons d’où cela vient, une preuve avec l’ip pour confirmer qui a fait la démarche aiderait donc à confirmer. Et donc comment réagir derrière plutôt que faire face à .. rien justement haha.
Si c’est vous qui faites la démarche alors aucun problème, dans le cas présent où nous recevons un mail que quelqu’un essaie de nous "pirater" il serait bon de savoir d’où ça vient. Surtout que supprimer un compte est très facile, le réactiver impossible (en soit tant mieux pour les personnes qui veulent supprimer leur compte volontairement, dans notre cas où on veut nous supprimer des comptes staff... ça paraît limite trop simple).
Je pense l'avoir hélas mal exprimé mais ma demande était simplement de, à l'instar de facebook ou gmail (pour des exemples populaires / facilement accessible) que l'on puisse avoir une trace dans ces moments de ce qu'il se passe, comme dis, si vous faites la démarche par vous-même cette information ne vous sera pas utile, pour nous qui risquons de perdre d'autres comptes (surtout dans ce cas où visiblement aucune des deux autres personnes n'est à l'origine de la suppression (ou si une l'est, avoir la confirmation directe)) savoir comment réagir directement. S'il faut donc retirer quelqu'un du staff qui essaie de saboter ou si ce n'est pas quelqu'un d'autre encore, etc. Mais sinon oui vu ce qui est demandé, impossible que ce soit une erreur en tout cas.
J'ai été très surprise quand j'ai reçu ce mail cet après-midi, nous nous sommes demandés si la personne n'espérait pas supprimer le compte si facilement ou si un autre mail lié au compte n'était pas espéré (puisque nous avons changés les adresses mails). Mais si la personne a justement le mot de passe pour l'auto suppression, il l'aurait également pour se connecter au forum et modifier / supprimer des choses mais ça c'est, j'imagine, un autre sujet (qui avait déjà été relevé il me semble ? avec une suggestion d'authentification à multiples facteurs ?). On a eu "la chance" qu'il n'ait pas essayé de se connecter mais du coup, on fait juste face au vide.
Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression
Bonjour,
Toute suppression de compte, même normalement par l'utilisateur lui-même, est loguée accompagnée de l'IP associée à la suppression effective. Les demandes de suppressions, en revanche, ne le sont effectivement pas tant que le compte est encore présent.
Par ailleurs, je ne comprends pas... la personne avait le mot de passe du compte ? Il parait évident dans ce cas qu'il s'agit de la personne qui a la main sur le compte, non ? Lors de départs staff litigieux ou potentiellement problématiques, une mise à jour des mots de passe de tous les comptes partagés, en particulier ayant des accès spécifiques, me semble logique et indispensable. Je ne dis pas ça pour votre cas personnel spécifiquement, mais je ne pense pas non plus que ce soit de la faute des procédures de Forumactif dans un tel cas.
Cordialement
Actions d'administration.Panneau d'administration Général Forum - Sécurité
Toute suppression de compte, même normalement par l'utilisateur lui-même, est loguée accompagnée de l'IP associée à la suppression effective. Les demandes de suppressions, en revanche, ne le sont effectivement pas tant que le compte est encore présent.
Par ailleurs, je ne comprends pas... la personne avait le mot de passe du compte ? Il parait évident dans ce cas qu'il s'agit de la personne qui a la main sur le compte, non ? Lors de départs staff litigieux ou potentiellement problématiques, une mise à jour des mots de passe de tous les comptes partagés, en particulier ayant des accès spécifiques, me semble logique et indispensable. Je ne dis pas ça pour votre cas personnel spécifiquement, mais je ne pense pas non plus que ce soit de la faute des procédures de Forumactif dans un tel cas.
Cordialement
Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression
Bonjour chattigre,
Nous étions trois, puis deux, une personne est partie mais m'assure ne rien avoir touché (cela va faire un an bientôt qu'elle est partie et n'a pas de raison particulière de vouloir supprimer un compte modérateur sur trois), avoir un moyen d'identification permettrait d'affirmer si c'est bien cela ou si c'est l'autre personne (mais elle a accès au panneau administrateur donc serait passé directement par le panneau administrateur si tel était le cas et elle n'a aucune raison de le faire). Il nous avait semblé avoir modifié le mot de passe au départ de la troisième personne en plus d'avoir modifié les adresses mails, mais nous avons eu tout de même un doute sur la personne étant partie et si nous n'avions finalement pas modifiés ce mot de passe, quelle explication sinon ? Avoir un moyen d'identification permettrait donc de savoir si le problème vient de cette ancienne membre du staff (partie), la nouvelle et donc comment agir ou s'il s'agit encore de quelqu'un d'autre et donc une autre façon d'agir.
Et bon en soit effectivement c'est du domaine du litige entre nous, l'histoire ne fait qu'illustrer un problème que j'ai pu constater cet après-midi en étant concernée directement par la démarche. J'ai relu les anciennes suggestions et j'ai cru voir que le problème revenait assez souvent sur les auto-suppressions mais personnellement c'est plutôt l'aspect sécurité qui, pour le coup, m'inquiète.
Nous étions trois, puis deux, une personne est partie mais m'assure ne rien avoir touché (cela va faire un an bientôt qu'elle est partie et n'a pas de raison particulière de vouloir supprimer un compte modérateur sur trois), avoir un moyen d'identification permettrait d'affirmer si c'est bien cela ou si c'est l'autre personne (mais elle a accès au panneau administrateur donc serait passé directement par le panneau administrateur si tel était le cas et elle n'a aucune raison de le faire). Il nous avait semblé avoir modifié le mot de passe au départ de la troisième personne en plus d'avoir modifié les adresses mails, mais nous avons eu tout de même un doute sur la personne étant partie et si nous n'avions finalement pas modifiés ce mot de passe, quelle explication sinon ? Avoir un moyen d'identification permettrait donc de savoir si le problème vient de cette ancienne membre du staff (partie), la nouvelle et donc comment agir ou s'il s'agit encore de quelqu'un d'autre et donc une autre façon d'agir.
Et bon en soit effectivement c'est du domaine du litige entre nous, l'histoire ne fait qu'illustrer un problème que j'ai pu constater cet après-midi en étant concernée directement par la démarche. J'ai relu les anciennes suggestions et j'ai cru voir que le problème revenait assez souvent sur les auto-suppressions mais personnellement c'est plutôt l'aspect sécurité qui, pour le coup, m'inquiète.
Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression
Je suis entièrement d'accord avec chattigre, la sécurité d'un compte est de l'affaire de ses utilisateurs/propriétaires sur le forum et non de Forumactif. Si vous donnez les informations à quelqu'un, ce n'est pas à Forumactif de couvrir les erreurs dûes à vos choix.
Changez régulièrement les mots de passe des comptes partagés, changez tout lors d'un départ d'un membre de l'administration ayant ces accès. De plus, pourquoi donner tous les accès à un nouveau membre du staff ça me dépasse un peu, à moins que vous ne connaissiez cette personne de longue date.
Personnellement j'ai voté contre. Je préfère que Forumactif se concentre sur des améliorations ayant réellement de la valeur pour les utilisateurs plutôt que pour une fonctionnalité qui ne servira que de manière anecdotique.
Changez régulièrement les mots de passe des comptes partagés, changez tout lors d'un départ d'un membre de l'administration ayant ces accès. De plus, pourquoi donner tous les accès à un nouveau membre du staff ça me dépasse un peu, à moins que vous ne connaissiez cette personne de longue date.
Personnellement j'ai voté contre. Je préfère que Forumactif se concentre sur des améliorations ayant réellement de la valeur pour les utilisateurs plutôt que pour une fonctionnalité qui ne servira que de manière anecdotique.
Re: [Administration] un moyen d'identification lors de tentative d'auto-suppression
Bonjour à toutes et à tous, Eu égard au règlement des suggestions, nous avons le regret de vous annoncer que cette suggestion est refusée (36% Pour et 64% contre). Nous remercions IvyDTyler pour cette suggestion. A très bientôt pour d'autres suggestions. L'équipe Forumactif. |
Bipo- Rédactif
- Messages : 3906
Inscrit(e) le : 23/09/2010
Sujets similaires
» [Administration] Message lors de la suppression d'un compte
» Message d'erreur lors d'une tentative d'ajout de smiley
» "Votre session a expiré" apparaît lors d'une tentative de modération…
» Visibilité lors tentative de connexion suite fermeture forum
» tentative administration profil des membres
» Message d'erreur lors d'une tentative d'ajout de smiley
» "Votre session a expiré" apparaît lors d'une tentative de modération…
» Visibilité lors tentative de connexion suite fermeture forum
» tentative administration profil des membres
Forum gratuit : Le forum des forums actifs :: Divers :: Suggestions / Améliorations :: Vos suggestions pour vos forums (sondages) :: Suggestions refusées
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum