Ajouter un avertissement lors de la vérification des messages personnels provenant du profil public d'un utilisateur, en tant qu'administrateur

Je n’aborderai pas ici comment et pourquoi un administrateur devrait pouvoir lire les messages directs d’autres personnes (cela a été discuté de nombreuses fois). De plus, les renommer « messages directs » plutôt que « messages privés » ici était judicieux. Je n’aborderai pas non plus Discourse Encrypt. Mon message concerne les communautés qui n’utilisent pas ce plugin.

Cependant, j’ai une petite requête, qui fait suite à mon expérience décrite ici :
https://meta.discourse.org/t/feature-request-regular-mode-for-admins-and-moderators-something-like-sudo-for-the-ui-basically/211617/19?u=canapin

J’ajoute également que si nous devons coller une capture d’écran d’un profil public sur notre forum pour une raison quelconque, les utilisateurs pourraient être surpris que notre capture d’écran contienne l’onglet « messages directs » d’un profil public d’utilisateur !

Étant donné que 99,9 % des utilisateurs pensent que « message privé » signifie « vraiment privé » sur Internet parce qu’ils n’ont jamais été éduqués à ce sujet, alors impliquer, dire ou leur expliquer que les administrateurs peuvent facilement lire les messages « privés » pourrait (provoquerait ?) un retour de flamme.

Il y a quelques années, j’ai lu un petit témoignage ici (je n’ai pas pu le trouver avec le moteur de recherche, mais j’aimerais le relire si quelqu’un le trouve !), où un utilisateur a rencontré cette situation, il a expliqué que 50 de ses utilisateurs avaient quitté son forum.
Quelqu’un a répondu que c’est comme ça que fonctionnent les messages privés sur Internet en général, dans ce type de logiciel, du moins.
Mais la première personne a répondu quelque chose comme « et pourtant, 50 de mes utilisateurs sont partis quand même ».

Vous pouvez expliquer à vos utilisateurs tout ce que vous voulez et avec tous les meilleurs arguments que vous avez, les gens peuvent simplement ne pas 1) comprendre et 2) réaliser ou décider qu’ils ne vous font pas confiance après tout.

Sur Discourse, de nombreux outils ou actions de modération sont évidents. Menu supplémentaire, outils, boutons, divers avertissements, choses rouges, etc…
Mais sur un profil utilisateur public, avec cet onglet « messages directs » particulier, rien : juste le bouton régulier « messages directs » qui affiche la liste des messages directs de l’utilisateur (dans laquelle nous pouvons même nous ajouter comme nouveau participant si je ne me trompe pas !).

Bien sûr, nous sommes administrateurs, responsables et éthiques et tout ça, et les utilisateurs doivent implicitement nous faire confiance lorsqu’ils s’inscrivent sur notre site web.

Mais je pense qu’ajouter un petit quelque chose à la possibilité de lire les messages directs serait une bonne chose.

Qu’il s’agisse d’une fenêtre de confirmation comme « Vous êtes sur le point de lire les messages directs d’autres personnes : OK / ANNULER », ou que cet onglet soit invisible par défaut, mais qu’il soit rendu visible via un réglage d’administrateur (jusqu’à ce que nous le désactivions, ou pour une durée fixe), ou que l’onglet « messages directs » ait une couleur différente…
Je ne sais pas. Mais juste un petit quelque chose qui indique explicitement que cliquer sur cet onglet est une action de modération ou d’administration, et non une action régulière.

Oui, cela semble logique. « Cette action pourrait exposer des informations considérées comme privées par cet utilisateur, souhaitez-vous continuer ? »

Je suggérerais également de définir par défaut sur vrai le paramètre « Admin - Utilisateurs - Enregistrer la visualisation des messages personnels par l'administrateur pour les autres utilisateurs/groupes. »,
et si activé, d’inclure un avertissement « Cette action sera enregistrée » dans cette fenêtre contextuelle.

Vous voulez dire ceci ?

Oui, exactement. Je me souvenais mal et j’ai confondu 50 utilisateurs et 50 % (mais peut-être avait-il 100 utilisateurs au total, qui sait ). Merci d’avoir découvert cela.

Je l’active toujours sur mes forums, et j’avoue que je ne vois pas bien l’intérêt de pouvoir le désactiver : pourquoi ne voudrait-on pas enregistrer cela ? Presque tout est enregistré de toute façon, et lire les messages directs des autres utilisateurs est une action particulièrement sensible/intrusive.
Je suis également favorable à ce qu’il soit activé par défaut.

Oui, c’est un peu alarmant. Le Mod complet a-t-il également cet accès aux messages lorsqu’il est dans le menu utilisateur ? Ou est-ce juste l’administrateur ?

À mon avis, cela devrait être désactivable si un mod a la capacité sans avoir besoin d’utiliser un plugin. Si je ne me trompe pas, cela pourrait causer des problèmes avec les pays européens qui ont des lois sur la protection de la vie privée plus strictes.

Uniquement les administrateurs. J’ai utilisé « modération » dans mon message, mais c’était censé être « une action de modération en tant qu’administrateur ».
Encore une fois, le but du sujet est juste une proposition pour rendre le bouton de message direct sur les profils publics visuellement (par une popup de confirmation ou en le cachant par défaut dans certains paramètres d’administration ou autre) plus une action d’administration qu’une action régulière.

Edit Je préférerais que la discussion ne dérive pas sur des questions juridiques/de confidentialité, mais uniquement sur des questions de conception, s’il vous plaît, bien que je comprenne les préoccupations (qui ont été discutées de nombreuses fois, comme indiqué dans mon sujet).

Vous vous trompez. Aucune loi n’interdit aux modérateurs d’accéder aux MP
(Il n’y a pas non plus de loi qui dise que les administrateurs peuvent ou ne peuvent pas y accéder).

Si vous faites référence au RGPD, c’est plus complexe. Cela se résume essentiellement à la nécessité d’une bonne raison et d’un bon processus.

C’est un soulagement. Mais je suis entièrement d’accord qu’il devrait y avoir un avertissement lors de l’exploration de cette option car elle peut poser toutes sortes de problèmes.

Nous avons eu un modérateur promu administrateur qui utilisait cela pour envahir et s’insérer dans les messages directs. Heureusement, il n’a pas été autorisé à occuper le poste longtemps après que ses transgressions aient été signalées.

Je n’étais moi-même pas au courant qu’en tant qu’administrateur, j’avais cette fonction jusqu’à votre publication. J’ai cliqué sur un lien de sujet qu’un utilisateur avait posté et qui s’est avéré être un lien vers un MP/DM et j’ai pu le voir. Dans ce scénario, une fenêtre contextuelle devrait également apparaître, à mon avis.

Merci d’avoir exposé ce problème.

C’est à cela que je fais référence. Bien que je ne le connaisse pas très bien. J’imagine que vous pourriez vous en sortir si vous divulguez que les messages privés/les messages directs ne sont pas privés, peut-être.

En ce qui concerne l’OP, nous devrions laisser cette partie de la conversation se conclure. Cependant, si vous avez des idées à partager, n’hésitez pas à le faire par message privé. Merci pour la clarification.

Oui, absolument, l’avertissement proposé serait une partie importante du processus susmentionné.

Une autre chose que j’ai vécue hier.

Un administrateur a sélectionné le contenu d’un message direct, l’a cité et a copié-collé le résultat dans notre catégorie privée de modération. Cela ressemblait à ceci (je me permets de le montrer car il n’y a absolument aucune information sensible) :

image767×398 33 KB

J’ai donc cliqué sur le titre de la citation pour voir le sujet (ce qui m’a mené à l’un des derniers messages, pas au premier message de la discussion directe) :

image2498×1369 101 KB

J’ai aimé les deux messages car j’ai d’abord pensé que c’était un sujet public. Le seul indice sur mon écran qui indiquait qu’il s’agissait d’un message direct auquel je n’étais pas participant était la liste des utilisateurs sous le titre, dans l’en-tête… Sur laquelle mon attention n’était absolument pas focalisée. Parce que je lisais les messages.

J’ai fait défiler vers le haut pour lire les autres messages et la première chose que j’ai vue a été l’icône de l’enveloppe devant le titre du sujet (j’aurais pu voir la section avec les participants, mais là encore, mon cerveau l’a ignorée) :

image2498×1369 143 KB

J’ai donc réalisé mon “erreur” et j’ai retiré mon “j’aime” des messages.

Évidemment, je comprends que j’ai pu voir le contenu du sujet car j’étais administrateur.
Mais peut-être qu’une sorte d’avertissement similaire (voir mon premier message et les suggestions d’autres personnes) pourrait être mis en place ? Peut-être une fenêtre pop-up d’avertissement lors du clic sur le lien du sujet, similaire à ce que @RGJ a suggéré, quelque chose comme “vous êtes sur le point de voir un message direct auquel vous n’êtes pas participant” ou quelque chose comme ça ?

Je ne suis pas sûr. Je n’ai pas rencontré ce problème pendant 3 ans d’utilisation de Discourse, donc cela pourrait être un cas rare… Mais en tout cas, ma petite erreur s’est produite et il est très possible que j’aurais même pu répondre au sujet sans même savoir que c’était un message direct auquel je n’étais pas inclus, ce qui pourrait déclencher un problème (des utilisateurs réguliers voyant un administrateur répondre directement dans leur discussion “privée” )

En tant que responsable de communauté ayant géré des communautés abordant des sujets incroyablement sensibles (communautés de santé mentale, communautés adultes marginales, communautés de cryptomonnaies), je soutiens fortement ceci, y compris un fichier journal séparé pour l’examen des administrateurs à chaque fois qu’il est utilisé, qui l’a utilisé, et pour voir quel utilisateur.

Par exemple, dans une communauté que j’ai aidé à gérer (qui était en réalité une grande quantité de communautés plus petites et plus soudées), j’ai dû créer et mettre en œuvre une politique car nous avions des situations où les administrateurs consultaient les messages de personnes de leur communauté hyperlocale, juste comme ça. Finalement, nous avons mis en place une situation de conflit d’intérêts où vous ne pouviez pas traiter un cas s’il s’agissait de quelqu’un avec qui vous aviez eu des relations, ou qui se trouvait dans votre région (grand groupe de responsables de communauté à distance).

Lorsque nous avons activé la journalisation, nous avons dû licencier QUATRE responsables de communauté, car il s’est avéré qu’ils utilisaient leurs pouvoirs pour espionner efficacement leur communauté locale. D’autres responsables de communauté avaient admis avoir également agi ainsi jusqu’à ce que nous rédigions une politique contre cela.

Je continue de plaider pour quelque chose comme ça ou pour supprimer la capacité des administrateurs de voir les MP et d’usurper l’identité. Possiblement comme un paramètre du site à l’installation… il existe tellement de communautés Discourse qui ne sont pas des forums de discussion typiques. Tellement d’entre nous qui n’ont pas besoin/ne veulent pas que le rôle d’administrateur soit les yeux qui peuvent voir toutes les informations, car certains d’entre nous l’utilisent pour des informations sensibles et dans des groupes d’affaires.

Il y a eu un rejet constant de la part des développeurs et d’autres ici qui justifient toujours pourquoi les administrateurs devraient avoir les niveaux d’accès actuels pour gérer une communauté, mais ils écoutent rarement le fait que ce sont des administrateurs de communautés qui demandent littéralement soit à restreindre fortement et à enregistrer toute cette activité, soit à supprimer la fonctionnalité.

Je pense qu’il serait utile d’avoir, à l’installation/configuration initiale, la désactivation de l’usurpation d’identité et de l’accès aux MP… avec une saisie requise de tous les administrateurs/modérateurs pour approuver un changement de paramètre global pour l’activer sur une communauté en direct avec une installation désactivée.

Appelez-le une installation maximale de confidentialité par rapport à une installation communautaire standard.

Il y a trop de cas d’utilisation et d’applications à ce stade pour que les communautés Discourse ne réfléchissent pas à ce genre de choses…

À mon avis, il devrait y avoir 2 niveaux pour les administrateurs. Au lieu de simplement admin et modérateur. Avec un administrateur principal ayant un accès complet mais, comme mentionné, un avertissement clair s’aventurant pour ainsi dire dans des zones sensibles. Comme il n’est pas clairement indiqué que quelqu’un va consulter des messages personnels. Un administrateur principal devrait pouvoir être digne de confiance. Un administrateur secondaire pourrait avoir un accès élevé pour pouvoir mettre à jour le forum ou ajouter/modifier des thèmes et des composants.

Même l’ajout d’une commande qui doit être exécutée sur le serveur racine pour activer/désactiver pourrait être une idée pour une tranquillité d’esprit supplémentaire en matière de sécurité.

D’un côté, si un utilisateur a besoin d’un modérateur/administrateur dans un message privé, il peut en inviter un. Ou si, par exemple, un site implique des jeunes, le commutateur de ligne de commande peut être utilisé lorsque cela est nécessaire.

Je soutiens pleinement cela, lié à l’usurpation d’identité d’utilisateurs par un administrateur de haut niveau disposant d’un compte d’accès au serveur.

Et j’espère que la lecture des messages privés des gens disparaîtra avec le plugin de chiffrement.

Ce n’est pas tout à fait lié, mais nous avons une sorte de « protection » de ce genre pour supprimer définitivement un message :

Je recommanderais le plugin Encrypt car il ajoute le chiffrement de bout en bout aux messages privés/MP. Pas facile à contourner. Seuls les membres invités dans le MP peuvent lire ces messages.

Je ne suis pas sûr si cela s’applique aux boîtes aux lettres de groupe. Probablement pas.

Pour ceux que cela intéresse, voici un composant de thème qui déplace l’accès initial aux MP des utilisateurs de leur page vers la page d’administration avec un nouveau bouton (en gardant l’intention dans le contexte d’administration) : Alternative User PMs Button For Admin. J’espère que cela vous aidera !