web-dev-qa-db-ja.com

複数のユーザーが1つのソーシャルネットワーキングアカウントに投稿する最も安全な方法

1つのTwitterアカウントと1つのFacebookページを管理するチームまたは組織があるとします。異なるユーザーが同じアカウントにコンテンツを投稿できる必要があります。このアカウントが侵害されるリスクを最小限に抑えるにはどうすればよいですか?

私の意見では、理想的なシナリオは、(1)投稿権限を持つ複数のユーザーがあり、(2)投稿にのみ使用でき、変更できないサービスを介して間接的にアカウントに投稿することと組み合わせて、管理権限を持つユーザーがないことです設定。

Twitterでこれを実現できます。このアカウントは、ブラウザーやアプリから使用されることはありません。パスワードは安全な場所にオフラインで保存されます。各ユーザーはTweetdeckアカウントをセットアップし、Twitterアカウントを関連付けています。これにより、Twitterに投稿できますが、元のTwitterパスワードやその他の設定を変更することはできません。無許可の誰かがチームメンバーのTweetdeckアカウントにアクセスした場合、考えられる最悪の結果はツイートです。元のTwitterアカウントがハッキングされた場合、またはパスワードを忘れた場合は、通常のアカウント回復が行われます。元のアカウントは間接的にのみ使用されるため、頻繁に使用されるアカウントよりも実際には安全ではありません。

このアプローチは バスに当たる の場合にも役立ちます。Twitterアカウントに使用されるメールは組織に属するメールアカウントであるため、アカウント復元情報を取得することは簡単です。

Facebook(または個人プロファイルにリンクされたセカンダリプロファイルがある他のソーシャルネットワーク)では同様のアプローチは私には起こりません。GooglePlusも同様に動作すると思います)?

Facebookでは、少なくとも1人のユーザーが「ページ」の管理者である必要があります。管理者の資格情報は、毎日使用する個人アカウントにリンクされています。この個人アカウントが侵害された場合、ページ全体が侵害されます。複数のユーザーが管理者になることができますが、1人の管理者が他のすべての管理者を削除できるため、リスクは複数になります。

これを、facebookを狙った膨大な数のマルウェアやxss攻撃、偽のログイン画面やソーシャルエンジニアリング攻撃と組み合わせます。

1)Twitterへの投稿に対する私の想定とアプローチは正しいですか、それとも欠陥がありますか? 2)(1)が正しい場合、FBへの投稿についてどのように進めますか?

web-applicationaccess-controlintegrityavailability
7
That Brazilian Guy

この場合、チームがソーシャルメディアアカウントへのアクセスを管理するために特別に設計されたツールがあるため、プラットフォームごとに独自のソリューションを展開しようとはしません。 HootSuite 、たとえば、いくつかのチーム管理機能があります。その時点で行う必要があるのは、TwitterやFaceBookなどのアカウントを持っている他の場所ではなく、HootSuiteへのアクセスを管理することだけです。 HootSuite以外のオプション(私は個人的に使用していないため、保証できません)については、「チームのソーシャルメディアマーケティング管理ツール」などの用語を使用して検索してみてください。

4
Xander

1人のユーザーに実際の投稿を行う資格を与え、他のすべての代理として機能させることをお勧めします。これにより、彼は衝突を回避できます(2人のポスターがほぼ同時に同じものを投稿する)。その特定のユーザーの早すぎる終焉に備えるために、パスワードのバックアップは安全な場所(できれば金庫)に保管されます。

3人以上で共有されているシークレットはもはやシークレットではないため、パスワードを共有しないでください。

3
Tom Leek

fBへの投稿についての進め方

他の回答に加えて、Facebookのページでも、content creatorまたはmoderator(ページ用)。

  • これらのユーザーは、ページの代わりに投稿したり、モデレーターとして行動したりできます
  • 管理者の役割を管理する権限がありません。他の管理者を削除することはできません。

これ link を使用すると、さまざまな種類のFacebookページ管理者と、その管理者が実行できる/できないことについて詳細を確認できます。

2
Shurmajee

まず、fbやTwitterなどのソーシャルネットワーキングサイトは RBAC。 の概念で作成されていないことを理解する必要があります。

質問で言及したすべての機能は、RBAC機能(たとえば、編集/追加、読み取り専用など)と交差します。

自分で言った回避策(たとえば、twitterdock)がありますが、多くのソーシャルPRファームがウェブサイトの代替ページとしてFacebookページを持っていることを知っており、1人の人/役割がすべてのサイト管理タスクを実行できるようにしています。

1
Saladin