C'è un modo per costruire un forum a prova di manomissione come Reddit? [chiuso]

-2

In seguito al recente incidente su reddit (vra link ) dove il CEO di Reddit ha modificato il contenuto di alcuni post senza alcuna notifica a nessuno.

C'è un modo per proteggere un database del forum in modo che sia a prova di manomissione anche quando si accede da root? Non deve essere a prova di manomissione nel senso che la radice non può cambiarlo, ma dovrebbe lasciare un segno chiaro.

Sto pensando a qualcosa sulla falsariga della firma crittografica dei post da parte del poster, dove (forse) la sua password potrebbe essere utilizzata per firmare il post mentre l'hash sul server potrebbe essere usato per convalidare che il contenuto è invariato. Tuttavia, sarebbe preferibile non richiedere la password dell'utente ogni volta che desidera pubblicare qualcosa.

UPDATE: Dovrebbe rimanere centralizzato, quindi blockchain non funziona davvero qui.

Inoltre, perché i downvotes?

    
posta user2486570 24.11.2016 - 10:42
fonte

3 risposte

7

Sì, è possibile creare un archivio dati a prova di manomissione, ad es. usando tecnologia blockchain. Una blockchain impedisce la cancellazione del contenuto poiché ogni blocco con firma crittografica fa riferimento alla firma dei blocchi precedenti. Tuttavia, questo richiede molti partecipanti che contribuiscono all'archiviazione dei dati e alla potenza di elaborazione. Se c'è un disaccordo, la blockchain è divisa. Tutti devono scegliere quale delle due forcelle in cui credono. Non è quindi possibile evitare una modifica, ma non può passare inosservata.

( Modifica: Si noti che un meccanismo di archiviazione pubblico senza eliminazione è eticamente indesiderabile. Un tale sistema potrebbe essere abusato per distribuire l'incitamento all'odio, eseguire violazioni del copyright, pubblicare dati riservati senza autorizzazione, distribuire pornografia infantile, diffusione di manuali di costruzione delle bombe, ... e tutti coloro che partecipano a quel meccanismo di archiviazione sarebbero complici, sono simili a BitTorrent, con la differenza che BitTorrent può essere utilizzato per scopi legittimi senza inavvertitamente aiutare cause illecite. un database blockchain di chiunque può essere postato sarebbe effettivamente illegale in vaste parti del mondo.)

Se si desidera solo impedire modifiche al contenuto, è possibile un archivio dati centralizzato. Tutte le voci di dati dovrebbero essere firmate crittograficamente e avremmo bisogno di uno schema di gestione delle chiavi pubblico / privato. Se un post viene modificato, la firma non corrisponderà più alla chiave pubblica dell'utente che ha pubblicato. Sarebbe comunque possibile sostituire un post con contenuti simili, ma firmato da una chiave diversa. Pertanto, la distribuzione delle chiavi e, soprattutto, le chiavi private devono essere separate dal provider di archiviazione dei dati.

Tutto ciò significa che è impossibile creare un forum a prova di manomissione facile da usare sul web. Ciascun utente finale deve gestire autonomamente la propria chiave privata. Se vogliono usare un altro dispositivo, dovranno copiare la loro chiave su quel dispositivo. Se perdessero la chiave, non sarebbero più in grado di postare sotto la loro identità. Eventuali firme e verifiche delle firme dovrebbero avvenire localmente. Se non ti fidi del provider del forum, tutto questo non deve accadere all'interno dell'interfaccia utente del forum o potrebbero esfiltrare le tue chiavi o mostrare una firma manomessa come OK.

Considerazioni simili si applicano alla crittografia della posta elettronica: perché non tutti gli utenti finali crittografano o firmano tutte le loro e-mail? Il problema n. 1 sono servizi di posta web come Gmail: se vuoi leggere la tua email decrittografata nel browser, dovresti fidarti del tuo provider di posta elettronica con la tua chiave privata, che sconfigge il punto di crittografia della tua email nel primo posto.

    
risposta data 24.11.2016 - 11:16
fonte
4

Bene, posso pensare a un modo semplice per farlo: basta firmare PGP sul tuo computer locale, con un client PGP locale di cui ti fidi e quindi pubblicare il messaggio firmato sul forum.

Gli altri utenti possono quindi verificare l'integrità del tuo post, con il loro client PGP localmente affidabile.

Ovviamente, questo richiede che tu abbia generato una chiave privata, e poi hai postato la tua chiave pubblica da qualche parte facilmente accessibile (idealmente NON lo stesso forum su cui stai postando). E richiede l'utilizzo di alcuni software client locali.

Quelli di noi abbastanza grandi da ricordare Usenet dovrebbero ricordare come facevamo i post pubblici sul forum antimanomissione nel giorno: -)

    
risposta data 24.11.2016 - 17:44
fonte
1

Potresti far firmare al server nuovi messaggi con una chiave anti-manomissione privata (al proprietario del forum) e rinviare la firma nella memoria locale del browser dell'utente. In seguito, quando un cattivo amministratore ha manomesso un post, l'utente può provare il contenuto originale dell'utente, purché ci sia una data in esso.

    
risposta data 24.11.2016 - 11:42
fonte

Leggi altre domande sui tag