皆さん、こんにちは。
ユーザーの1人がアカウントを乗っ取られました。その影響を軽減するためのワークフローは、決して理想的なものではありませんでした。
rails console は以下の目的で必要でした。
さらに、Eメールの変更が、送信メールログにのみ表示され、他の場所には表示されないことが判明しました。
AIスパム検出器は新規アカウントによるスパムを検出しましたが、この信頼レベルと投稿数に対しては有効になっていませんでした。国を変更する場合や、1年以上投稿がない場合に、AIスパム検出器を有効にするオプションを含めるのは良い考えかもしれません。
長年にわたる素晴らしいソフトウェア、そしてこのような軽微な欠点にもかかわらず、皆さんに感謝します。
それらのアクションはすべて、管理者 > ユーザーページからも実行できます。コンソールからのみ可能であるという印象をどこで受けたのか分かりません。
メールアドレスを変更すると新しいメールアドレスに確認プロンプトが送信されますが、古いメールアドレスはすぐに削除されません。
アカウントの無効化ボタンが正しかったかもしれませんが、それがメールによるパスワードリセットを強制するかどうかは明確にラベル付けされていません。
やはりすべてのセッションを終了ボタンを見つけることができず、なりすましによるパスワード変更は理論的には機能しますが、特にユーザーのアカウントが管理者やモデレーターが話せない言語に設定されている場合、非常に煩雑です。
ユーザーのメールアドレスが侵害され、その結果、Discourseアカウントが侵害されたという妥当な理由がある場合、管理者としてメールアドレスを変更し、古いメールアドレスを削除することができます。
アカウントを単に非アクティブとしてマークするだけで、メールの再認証が強制され、実質的にすべてのアクティブセッションが終了します。
いいえ、それを試みましたが、新しいメールアドレスの確認メールが送信されてしまい、そのメールがクリックされるまで古いメールアドレスはデータベースに残っており、おそらく有効なままであったため、実行できませんでした。
そのような場合は、代わりにサスペンションを使用できます。
これをバグレポート/機能リクエストとして開いたのは、後で改善できる可能性があるためです。具体的なタスクはすでに完了しており、ユーザーはアカウントを取り戻しました。
これはバグだとはあまり思えません。私の意見では、これはエッジケースですらありません。ユーザーがデータや身元について不注意になることは一般的ではなく、十分な安全策が講じられています。このプロセスを容易にすることは、むしろ副作用をもたらす可能性があります。これは人々が日常的に対処すべきことではなく、状況が十分に重要であれば、管理者は軽減策の進め方を知っています。コピーはもう少し改善できるかもしれませんが、UIにオプションを追加することには断じて賛成しません。
また、サスペンションを解除せずにサスペンション時間を延長するためのボタンがありません。
全セッションの認証解除、パスワードの強制変更、メールアドレスの強制変更ボタンに何か問題がありますか?他のソフトウェアでも見たことがあります。
スタッフが悪意を持って一度使用しました。
管理者がユーザーのメールアドレスをより細かく制御できるようにするための機能リクエストを最近提出しました。これは、このユースケースにも対応できます。
はい、頻繁に発生するイベントではありません(幸いなことに)。しかし、発生した場合(または同様のことが発生した場合)は深刻であり、迅速な対応が必要です。BashやRailsコンソールを操作したり、サポートチケットを上げたりして学習している時間ではありません!
しかし、一時的にアカウントを無効にするのにrails consoleをナビゲートする必要はありません。ほぼ10年間、さまざまなDiscourseコミュニティを管理してきましたが、コミュニティの移行や一括操作の実行以外でrails consoleを必要とする状況に出くわしたことはありません。データベースへの直接変更がさらなる損害を防ぐためのより安全な策と見なされる場合があることは理解できますが、現在すでに非常に混雑しているため、ユーザープロフィールまたは管理者ページにオプションを追加することが理にかなっているかどうかはわかりません。
本当です。そして、それは彼らを非常に効果的に阻止するでしょう。
管理者による強制的なアカウントマージと、それに続く問題のある(現在はプライマリではない)メールアドレスの削除も効果的であると確信しています。また、これは他の状況でメールアドレスの変更を強制するためにも使用できます。しかし、これはあくまで回避策です。