Как сделать форум для закрытого сообщества?

И ещё сразу же требовать при регистрации данные о работодателе и отправлять ему на почту ФИО сотрудника, что совершенно не понимает значений терминов «соглашение о неразглашении» и «профессиональная тайна».

Ты что, с ума сошел, что ли? Какой идиот будет подобное на публичном ресурсе выбалтывать, хотя бы и даже с регистрацией по инвайтам? Про слив документов я вообще молчу, это уже просто уголовка в некоторых случаях!

Подобные беседы возможно только внутри коллег внутри компании, и то с ограничениями по отделам.

при скачивании материалов с сайта, каждый материал подписывать подписью, которая бы однозначно индентифицировала скачавшего. Это делается для того, чтобы выявлять источник утечки, в случае утечки;

Никто не помешает удалить эту подпись после скачивания. Так что всё гораздо сложнее и в общем случае не решается.

Закрытость сообщества достигается технической ложностью контента, так случайные люди будут отсеиваться, потому что ничего не поймут, но при этом не исключается приход молодой крови, тех кто готов осилить

Посмотри того же Алексея Лустина. Для обычного чела кажется, что он бессмыслицу какую-то несет, у него на стримах человек 10 бывает от силы, но для тех кто шарит там кладезь инфы

https://u.is/ru/

обмениваться непубличной информацией

Это делается для того, чтобы выявлять источник утечки, в случае утечки;

Деление на ноль. Утечка уже произошла.

сделать так, чтобы содержимое сайта не выходило за рамки сообщества;

См. выше

Если все друг друга знают, то работа и так ведётся по одному проекту и все вопросы решаются в рабочем порядке.

Какой идиот будет подобное на публичном ресурсе выбалтывать

Ну мало ли непуганных идиотов.

Проблема гнилых людей техническими методами в целом не решается. А для нормальных людей все эти прибамбасы - лишний гемор, который к тому же довольно унизителен.

Форум не решит эти задачи.

Про слив документов я вообще молчу, это уже просто уголовка в некоторых случаях!

Тем не менее народ сливает доки и всё остальное. Может не по теме, но очень похоже, когда слили тонны видосов и что-то ещё по GTA VI, хотя там тоже вроде нельзя тестировщикам и т.д. что-то сливать. И как узнать кто слил? - Просто сузится круг. Это нужно придумать такой формат документов, видео-аудио материалов, которые можно подписывать ключами, чтобы открыв видос, было видно, пописано «Васян Петрович». И при обнуружении в сети, можно было подавать на него в суд.
Хотя PDF на всяких онлайн-библиотеках так не делают, не записывают данные покупателя книги, чтобы заблочить его акк?

не мог одновременно использовать на нескольких устройствах

А смысл? Если заход на сайт неудобен и требует постоянно вбивать логин-пароль, люди будут посещать его как можно реже и искать другие пути обмениваться той же информацией.

Либо пользоваться менеджером паролей, откуда злоумышленнику воровать пароли гораздо легче.

Есть технологии, котрый применяются в VDR, наприме. Там не подпись, а изменение документа, которое сложно вычислить.

А если входить на сайт при помощи ЭЦП, которая хранится на токене?

«Задач» в посте нет.

Отвечу вам, чтобы не отвечать всем остальным.

что совершенно не понимает значений терминов «соглашение о неразглашении» и «профессиональная тайна».

В посте я не конкретизировал состав и содержание информации, которая будет присутствовать на сайте. «тайны» - только в вашей голове.

Про слив документов я вообще молчу, это уже просто уголовка в некоторых случаях!

«Слив» документов только в вашей голове.

Не надо давать мне советов, которых я не просил. Если нечего сказать по существу вопроса (запуск сайта для закрытого сообщества) - просто промолчите.

Есть форумы связистов. Например, http://bbs.radiolink.ru/.

Там есть раздел с файлами. Например: http://bbs.radiolink.ru/forum/downloads.php

Там же, на форуме, связисты обсуждают нюансы внедрения и эксплуатации систем связи. Мне требуется создать похожий сайт.

Хотя PDF на всяких онлайн-библиотеках так не делают

Делают свой вьюер для pdf без возможности скачать файл, отдавая ему файл по прямой ссылке. Как говорится только для тех кто знает.

Если все друг друга знают и с закрытой регистрацией, то решений много, да хоть тот же redmine, раздел форум там есть, возможность обсудить тоже, раздел для файлов тоже.

Я тоже думал про Redmine или confluence. В последнем есть комменты.

Конспирация прямо как у наркодилеров.

Задача нереализуемая, утечка неизбежна. Единственный вариант - если за утечку будет отвечать участник форума, но на практике такой подход трудно реализуем.

при скачивании материалов с сайта, каждый материал подписывать подписью,

Вотермарки, кучу их лепите по всему документу, дописывайте в конец файла. См пример стоков фото.

сделать так, чтобы содержимое сайта не выходило за рамки сообщества

Невозможно, что знают двое - знают все. А больше всех будут знать админы этого сайта и… хостеры.

Надо

Не надо. )

Проблема «передачи» паролей решается использованием сертификата, в том числе и на токене, делал такое на файрфоксе и eToken Pro (java) и с проверкой nginx на сервере. Но, на самом деле не решает. )

А проблему отслеживания утечки контента можно попробовать решить стеганографией.

Но, это всё муторно и, наверное, не правильно.

А если нет секретов, то к чему такая закрытость и недопуск утечек?

Надо:
сделать так, чтобы пользователь не мог передать свои логин и пароль кому-либо, не мог их копировать и не мог одновременно использовать на нескольких устройствах;
при скачивании материалов с сайта, каждый материал подписывать подписью, которая бы однозначно индентифицировала скачавшего. Это делается для того, чтобы выявлять источник утечки, в случае утечки;
снизить до минимума вероятность копирования информации с сайта;
сделать так, чтобы содержимое сайта не выходило за рамки сообщества;
чтобы при всех требованиях к безопасности, сайтом было удобно пользоваться.

Но, тебе виднее, чего в посте нет.

Confluence не open source, и на Яве, я считаю это минусом. С redmine’ом работал достаточно долго, есть куча плагинов, и при желании можно допилить для своих нужд. Из минусов не очень красивая дефолтная тема оформления, но это меняется.

сделать так, чтобы пользователь не мог передать свои логин и пароль кому-либо

В общем случае это невозможно. Даже если привязать к отпечаткам и прочей биометрии - залогинился и дал комп соседу.

снизить до минимума вероятность копирования информации с сайта

Любая информация которая ушла на чужой комп может быть сохранена на чужом компе

Так и есть. Проблема ИБ, даже без И, бывает, что «закручивание гаек» приводит к изобретению сотрудниками вариантов обхода. Как результат, безопасники курят бамбук думая, что у них все хорошо, а в это время через «окно» «дядя вася» выносит «ядрючюю бомбу».

залогинился и дал комп соседу.

Зачем так сложно? Достаточно скачать «бесплатно и без смс» :)

Даже без сохранения на самом компе, видимокамеры ещё не отменили, а они сейчас в каждом утюге :)

Можно взять движок Лора и на его основе сделать требуемый сайт :)

Дурачки, одержимые идеей принадлежности к «тайному» сообществу, сами подтянутся и начнут закидывать информацию, которая не должна передаваться третьим лицам.

А что представляет собой токен? Если это просто файл, копируемый на компьютер, с которого входят, то получается та же ситуация, что и с компьютерами, сохраняющими логины и пароли. Но безопасник может добавить в резюме строчку об успешном внедрении авторизации через криптотокены :)

Если под токеном имеется в виду флешка с файлом, с запретом на его копирование с флешки, то отсекаются люди, заходящие на форум с телефонов.

Если под токеном имеется в виду более хитрое устройство, тоже в виде USB-брелка, отсекутся пользователи нестандарных ОС. С большой вероятностью останется только Windows.

Наконец, если оснастить все корпоративные машины COM или LPT-разъёмами, и подключать токены туда, то можно обеспечить свободу передвижения пользователей в пределах компании, фактически закрыв доступ извне. Кроме самых продвинутых :)

Дурачков везде хватает... Что ж теперь, не обмениваться информацией вообще?.. :)

сделать так, чтобы пользователь не мог передать свои логин и пароль кому-либо, не мог их копировать и не мог одновременно использовать на нескольких устройствах;

если вы не доверяете эту инфу людям, которых лично знаете, то ваше дело - швах. Даже у секретных агентов самое главное - личное доверие, а не технические меры обеспечения безопасности.

Аудитория сайта: сообщество инженеров внедрения, которые внедряют и сопровождают оборудование.Назначение сайта: обмениваться непубличной информацией о настройке и внедрении оборудования на объектах заказчиков. Функции сайта: форум новости обмен шаблонами документов обмен протоколами испытаний обмен иными документами и файлами

аж прослезился

подними веб сервер внутри туннеля и всех будешь знать по адресам

Можно для каждого пользователя генерировать ключ и перед скачиванием подписывать файл этим ключом, но все равно пользователь скачав этот файл может удалить подпись

телеграмчик

Ответы:

• нет, это вообще не так делается
• нет, всё закрыто
• нигде, всё закрыто

Я бы такое сделал (и уже делал), но у тебя, скорее всего, денег не хватит.
Но если вдруг хватит ($500k) — пиши во вличку, сделаем в лучшем виде.

NDA, уголовная ответственность, проверка на адекватность перед допуском

Уголовная ответственность за выдачу ворованного? )

Уголовная ответственность за нарушение договора.
В разных странах это делается разными методами, но в целом способы есть везде.
И, если подписавший понимает как это работает, этого достаточно чтобы нейтрализовать абсолютное большинство воров и шпионов.
А для нейтрализации всяких сноуденов надо просто не беспределить.

Уголовная ответственность за нарушение договора.

За нарушение договоров уголовной отвественности быть не может. Только гражданская

В разных странах это делается разными методами, но в целом способы есть везде.

А за разглашение информации, что на таком-то форуме обмениваются краденой коммерческой информаций - не только гражданской отвественности не будет, но еще и спасибо скажут, что сообщили о месте. где кучкуются жулики

Очень интересная тема. Как прогресс?

Я хочу использовать RuToken для того, чтобы не вводить логин/пароль (чтобы оно само-само).

А смущает меня надписи на этих токенах «сертификат ФСБ» или «Сертификат ФАПСИ». Получается, что у этих организаций будет закрытый ключ с токена? Или всё-таки он неизвлекаемый?