Добавить предупреждение при проверке личных сообщений с публичного профиля пользователя, будучи администратором

Я не буду обсуждать здесь, как и почему администратор должен иметь возможность читать личные сообщения других людей (это уже обсуждалось множество раз). Также было умно переименовать их в «личные сообщения» (direct messages), а не в «частные сообщения» (private message) в данном контексте. Я также не буду обсуждать плагин Discourse Encrypt. Мой пост касается сообществ, которые не используют этот плагин.

Однако у меня есть небольшая просьба, основанная на моём опыте, описанном здесь:
https://meta.discourse.org/t/feature-request-regular-mode-for-admins-and-moderators-something-like-sudo-for-the-ui-basically/211617/19?u=canapin

Я также хочу добавить, что если нам по какой-то причине нужно разместить скриншот публичного профиля на нашем форуме, пользователи могут удивиться, увидев, что наш скриншот содержит вкладку «личные сообщения» из публичного профиля пользователя!

Поскольку 99% пользователей считают, что «частное сообщение» (private message) означает «действительно частное» в интернете, потому что их никогда не обучали этому, то намекать, говорить или объяснять им, что администраторы могут легко читать «частные» сообщения, может (или, возможно, вызовет?) обратную реакцию.

Несколько лет назад я прочитал здесь небольшое свидетельство (я не смог найти его через поисковую систему, но хотел бы перечитать, если кто-то найдёт!), где пользователь описал эту ситуацию: он объяснил, что 50 его пользователей ушли с его форума.
Кто-то ответил, что так работают частные сообщения в интернете в целом, по крайней мере в таком программном обеспечении.
Но первый человек ответил примерно следующее: «И всё же, 50 моих пользователей ушли».

Вы можете объяснять своим пользователям всё, что угодно, используя все свои лучшие аргументы, но люди могут просто: 1) не понять и 2) не осознать или решить, что в конечном итоге они вам не доверяют.

На Discourse многие инструменты или действия модерации очевидны. Дополнительные меню, инструменты, кнопки, различные предупреждения, красные элементы и тому подобное…
Но на публичном профиле пользователя с этой конкретной вкладкой «личные сообщения» ничего нет: просто обычная кнопка «личные сообщения», отображающая список личных сообщений пользователя (в который, если я не ошибаюсь, можно даже добавить себя в качестве нового участника!).

Конечно, мы — администраторы, ответственные и этичные люди, и пользователи должны неявно доверять нам, когда регистрируются на нашем сайте.

Но я думаю, что добавление небольшого элемента, указывающего на возможность чтения личных сообщений, было бы хорошим шагом.

Будь то всплывающее окно подтверждения типа «Вы собираетесь прочитать личные сообщения других людей: ОК / ОТМЕНА», или сделать эту вкладку невидимой по умолчанию, но включить её через настройку администратора (пока мы не снимем галочку или в течение определённого времени), или сделать вкладку «личные сообщения» другого цвета…
Я не знаю. Но просто что-то маленькое, что явно говорит о том, что нажатие на эту вкладку является действием модерации или администрирования, а не обычным действием.

Да, это логично. «Это действие может раскрыть информацию, которую данный пользователь считает конфиденциальной. Продолжить?»

Также рекомендую установить значение по умолчанию для параметра «Администратор — Пользователи — Логировать просмотр личных сообщений администратором для других пользователей/групп» в true.

Если эта опция включена, добавьте в всплывающее окно предупреждение: «Это действие будет зафиксировано в логах».

Ты имеешь в виду это, верно?

Да, точно. Я перепутал 50 пользователей и 50% (хотя, возможно, у него всего было 100 пользователей, кто знает ). Спасибо, что выяснили это.

Я всегда включаю её на своих форумах и признаюсь, что не до конца понимаю смысл этой переключателя: зачем кому-то не хотеть вести журнал таких действий? В любом случае почти всё логируется, а чтение личных сообщений других пользователей — особенно чувствительное и вторгающееся в частную жизнь действие.
Я тоже поддерживаю включение этой опции по умолчанию.

Да, это немного тревожно. Есть ли у Full Mod аналогичный доступ к Сообщениям в меню пользователя? Или это только у Администратора?

По моему мнению, эту возможность должен быть можно отключать, если у модератора есть такой доступ, без необходимости использовать плагин. Если я не ошибаюсь, это может вызвать проблемы в европейских странах с более строгими законами о конфиденциальности.

Только для администраторов. Я использовал слово «модерация» в своём сообщении, но имел в виду «действие модерации как администратора».
Ещё раз: цель темы — просто предложение сделать кнопку личных сообщений на публичных профилях визуально (через всплывающее окно подтверждения или скрытие по умолчанию в некоторых настройках администратора и т. п.) больше административным действием, чем обычным.

Редакция: я бы предпочёл, чтобы обсуждение не уходило в юридические/приватные вопросы, а касалось только дизайна, пожалуйста, хотя я понимаю опасения (которые уже обсуждались много раз, как сказано в моей теме).

Вы ошибаетесь. Нет закона, который запрещал бы модераторам получать доступ к личным сообщениям
(Также нет закона, который бы запрещал или разрешал администраторам получать к ним доступ).

Если вы имеете в виду GDPR, то ситуация здесь сложнее. В сущности, всё сводится к тому, что для доступа должна быть веская причина и установленная процедура.

Это облегчение. Но я полностью согласен, что при использовании этой опции должно быть предупреждение, так как она может вызвать всевозможные проблемы.

У нас был модератор, повышенный до администратора, который использовал это для вторжения и внедрения в личные сообщения. К счастью, ему не разрешили долго занимать эту должность после того, как о его проступках сообщили.

Я сам не знал, что как администратор имею эту функцию, пока вы не написали об этом. Я нажал на ссылку к теме, которую опубликовал пользователь, и она оказалась ссылкой на личное сообщение (PM/DM), и я смог его просмотреть. В таком случае, на мой взгляд, тоже должно появляться всплывающее окно.

Спасибо, что подняли эту проблему.

Именно об этом я и говорю. Хотя я не очень хорошо знаком с этим. Думаю, всё может быть в порядке, если будет указано, что личные сообщения (PM/DM) не являются приватными.

Что касается автора темы, то давайте завершим эту часть обсуждения. Однако, если у вас есть какие-то дополнительные соображения, пожалуйста, поделитесь ими в личном сообщении. Спасибо за разъяснения.

Да, безусловно, предложенное предупреждение станет важной частью упомянутого процесса.

Ещё один случай, с которым я столкнулся вчера.

Один из администраторов выделил содержимое прямого сообщения, процитировал его и скопировал результат в нашу приватную категорию модерации. Это выглядело так (я позволяю себе показать это, поскольку здесь абсолютно нет конфиденциальной информации):

image767×398 33 KB

Я нажал на заголовок цитаты, чтобы перейти к теме (это привело к одному из последних сообщений, а не к первому сообщению в прямой переписке):

image2498×1369 101 KB

Я поставил лайки обоим сообщениям, поскольку сначала подумал, что это публичная тема. Единственным признаком на моём экране, указывавшим на то, что это прямое сообщение, в котором я не участвую, был список пользователей под заголовком в шапке… На котором моё внимание абсолютно не было сосредоточено, потому что я читал сообщения.

Я прокрутил страницу вверх, чтобы прочитать остальные сообщения, и первым, что я увидел, была иконка конверта перед заголовком темы (я мог бы заметить секцию с участниками, но, опять же, мой мозг это проигнорировал):

image2498×1369 143 KB

Тогда я осознал свою «ошибку» и снял лайки с сообщений.

Очевидно, я понимаю, что мог видеть содержимое темы, так как являюсь администратором.
Но, возможно, стоит настроить какое-то подобное предупреждение (см. мой первый пост и предложения других людей)? Может быть, всплывающее предупреждение при клике на ссылку темы, похожее на то, что предложил @RGJ здесь, например: «Вы собираетесь просмотреть прямое сообщение, в котором вы не участвуете» или что-то в этом роде?

Я не уверен. Я не сталкивался с этой проблемой за три года использования Discourse, так что, возможно, это редкий случай… Но в любом случае, моя небольшая ошибка произошла, и вполне возможно, что я мог бы даже ответить на тему, даже не зная, что это прямое сообщение, в которое я не включён, что могло бы вызвать проблему (обычные пользователи видят, как администратор напрямую отвечает в их «частной» дискуссии )

Как менеджер сообщества, работавший с сообществами на крайне деликатные темы (сообщества по вопросам психического здоровья, нишевые взрослые сообщества, крипто-сообщества), я полностью поддерживаю эту идею, включая ведение отдельного журнала действий для администраторов, который просматривается каждый раз при использовании функции. В нём должно быть указано, кто её использовал и для просмотра какого пользователя.

Например, в одном из сообществ, которое я помогал курировать (фактически это было множество небольших, тесно сплочённых сообществ), нам пришлось разработать и внедрить политику, поскольку возникли ситуации, когда администраторы просматривали сообщения людей из своего гиперлокального сообщества просто так. В итоге мы создали механизм предотвращения конфликта интересов: вы не могли заниматься делом, если оно касалось кого-то, с кем у вас были личные связи, или если этот человек проживал в вашем регионе (крупная удалённая группа менеджеров сообществ).

Когда мы включили ведение журнала действий, нам пришлось уволить четырёх менеджеров сообществ, так как выяснилось, что они использовали свои полномочия для эффективного шпионажа за своим локальным сообществом. Другие менеджеры признались, что также совершали подобные действия, пока мы не запретили это в политике.

Я по-прежнему выступаю за что-то подобное или за отмену возможности администраторов просматривать личные сообщения и выдавать себя за других. Возможно, это можно реализовать как настройку сайта при установке… Существует множество сообществ на базе Discourse, которые не являются типичными форумами. Многие из нас не нуждаются в том, чтобы роль администратора предоставляла доступ ко всей информации, так как некоторые используют платформу для работы с конфиденциальными данными и в бизнес-группах.

Со стороны разработчиков и других участников здесь постоянно наблюдается сопротивление, они всегда аргументируют, почему администраторы должны иметь текущий уровень доступа для управления сообществом, но редко прислушиваются к тому факту, что администраторы сообществ буквально просят либо существенно ограничить и вести логирование любой такой активности, либо полностью убрать этот функционал.

Я считаю, что было бы полезно предусмотреть возможность при установке/начальной настройке отключить функции имперсонации и доступа к личным сообщениям… при этом для включения этих функций в работающем сообществе с отключенной по умолчанию установкой потребуется одобрение глобального изменения всеми администраторами или модераторами.

Это можно назвать установкой с максимальной приватностью по сравнению со стандартной установкой сообщества.

На данный момент существует слишком много вариантов использования и приложений для сообществ на базе Discourse, чтобы не задумываться о подобных вещах.

На мой взгляд, у администраторов должно быть два уровня доступа: вместо простого разделения на «администратор» и «модератор» ввести «главного администратора» с полным доступом, но с явным предупреждением при входе в чувствительные зоны. Ведь не всегда понятно, что кто-то может просматривать личные сообщения. Главный администратор должен вызывать доверие. Второй уровень администратора может иметь повышенные права для обновления форума или добавления/изменения тем и компонентов.

Возможно, стоит добавить команду, которую нужно выполнять на корневом сервере для включения/отключения такой возможности — это добавит уверенности в безопасности.

С одной стороны, если пользователю нужен модератор или администратор в личном сообщении, он может пригласить его. А если, например, на сайте работают с молодёжью, можно использовать переключатель командной строки при необходимости.

Я полностью поддерживаю это в связи с имитацией пользователей от администратора высшего уровня с учётной записью доступа к серверу.

И я надеюсь, что чтение личных сообщений пользователей исчезнет с внедрением плагина шифрования.

Это не совсем по теме, но у нас есть нечто вроде «защиты» такого рода (в некотором роде) для постоянного удаления поста:

Я рекомендую плагин Encrypt, так как он добавляет сквозное шифрование для личных сообщений (PM/DM). Обойти его непросто. Прочитать эти сообщения могут только участники, приглашенные в PM/DM.

Не уверен, относится ли это к почтовым ящикам групп. Скорее всего, нет.

Для заинтересованных: вот компонент темы, который переносит первоначальный доступ пользователей к личным сообщениям со страницы профиля на страницу администратора с новой кнопкой (сохраняя контекст администрирования): Alternative User PMs Button For Admin. Надеюсь, это поможет!