您有没有为您的客户进行故障排除并询问(或确实希望)他们的凭据,如果有故障,请检查他们的设置?我们的解决方案是实现模拟功能,以便以任何用户身份登录,并可以访问用户所做的一切。在这种情况下,邮件应用程序。虽然我们不需要密码来冒充,但我对用户的隐私感到担忧。主要有两件事:他们的邮件和POP3 / IMAP设置(冒充者可以获得用户的gmail / yahoo / etc用户和密码。
围绕这个有什么其他好的选择/建议?
一些建议的日志。当然,它是必不可少的组件,但您无法记录所有内容。特别是因为记录的内容与用户的设置无关。
答案 0 :(得分:8)
您需要有一种方法让客户能够通过他们的知识和同意收集并发送他们的设置。同样适用于日志。
基本上没有理由闯入客户的系统来“支持”他们。
答案 1 :(得分:6)
最佳解决方案是迈克尔上面的(有办法转储/报告用户的设置)
另一个很好的解决方案是将帐户的CLONE设置设置为全新帐户。然后你可以试验克隆。
或者,确保用户主动意识到您具有此类模拟功能,在使用它时即可签名,并在每次使用时明确注销,
答案 2 :(得分:2)
我同意DVK的回答#3,但我认为他也缺少一个重要的组成部分:审计。您应该要求您的系统记录您的真实用户名,您要模仿的人,时间以及解释原因。此数据需要存储在具有模拟权限的用户无法更改的位置,因此不能伪造记录。如果人们知道可以被追踪,那么被滥用的可能性要小得多。您可以通过向正在通过应用模拟的最终用户显示此日志来进一步降低滥用的可能性。例如,如果它是一个webapp,你可以在他们的个人资料(私人资料)下面有一个部分,让他们查看他们的帐户被访问的时间和原因(也许不公开谁,留给你的调查人员)。如果他们在那里看到可疑的东西,他们可以向贵公司的相应高层报告,违规者将受到纪律处分。透明度让人们诚实。
答案 3 :(得分:2)
道德与冒充
我的看法是,一个允许你模仿别人的功能本身并不......不道德。一块软件在道德上是中立的,就像(IMO)摇滚在道德上是中立的一样......即使有人把它扔给你!
道德在两个方面进入了等式: 问:使用该软件冒充他人是否合乎道德? 答:这取决于。如果这是在所有相关人员的充分知识和许可的情况下完成的,并且为了达到道德的目的,那么很难说假冒行为是不道德的。但对于其他任何事情,道德规范至少是值得商榷的。 问:编写一个允许你模仿别人的软件是否合乎道德? 答:如果功能的创建得到了正式授权,并且您已经采取了足够的保障措施,那么它可以说是道德的。但很难知道什么构成“足够”。但有些人可能会认为道德不会影响这一特征的创造。这些问题总是很困难,并且会一直争论不休。但至少你正在考虑这个问题......并寻找一个不那么麻烦的替代方案。
答案 4 :(得分:0)
归根结底,这取决于信任。你相信你的(同事)员工和你自己吗?
您可以(并且应该)设置审核跟踪,并确保用户知道您已经登录,但在任何小公司(我假设您不为Google工作),很可能是大多数开发人员最终可以访问数据库,如果他们真的想要,可以删除或修改这些审核。
处理这方面的一个小方法是进行每日备份并将其发送到异地 - 如果您认为有人在翻书,那么至少可以比较数据库。
答案 5 :(得分:0)
在Raymond的“The Art of UNIX Programming”中阅读fetchmail中详细模式的讨论。它处理电子邮件设置等,并明确屏蔽跟踪中的密码,以便在不影响用户安全的情况下发送跟踪。