Aggiungi un avvertimento quando si controllano i messaggi personali da un profilo pubblico utente, come amministratore

Non discuterò qui come e perché un amministratore dovrebbe essere in grado di leggere i messaggi diretti di altre persone (ne è stato discusso molte volte). Inoltre, rinominarli “messaggi diretti” piuttosto che “messaggi privati” qui è stato intelligente. Non discuterò nemmeno di Discourse Encrypt. Il mio messaggio riguarda le community che non utilizzano questo plugin.

Tuttavia, ho una piccola richiesta, che segue la mia esperienza descritta qui:
https://meta.discourse.org/t/feature-request-regular-mode-for-admins-and-moderators-something-like-sudo-for-the-ui-basically/211617/19?u=canapin

Aggiungo anche che se per qualsiasi motivo dovessimo incollare uno screenshot di un profilo pubblico nel nostro forum, gli utenti potrebbero essere sorpresi che il nostro screenshot contenga la scheda “messaggi diretti” dal profilo pubblico di un utente!

Poiché il 99% degli utenti pensa che “messaggio privato” significhi “veramente privato” su Internet perché non sono mai stati educati a riguardo, allora implicare, dire o spiegare loro che gli amministratori possono leggere facilmente messaggi “privati” potrebbe (causerebbe?) una reazione negativa.

Qualche anno fa, ho letto una piccola testimonianza qui (non sono riuscito a trovarla con il motore di ricerca, ma mi piacerebbe rileggerla se qualcuno la trovasse!), dove un utente ha incontrato questa situazione, ha spiegato che 50 dei suoi utenti se ne sono andati dal suo forum.
Qualcuno ha risposto che è così che funzionano i messaggi privati su Internet in generale, in questo tipo di software, almeno.
Ma la prima persona ha risposto qualcosa del tipo “eppure, 50 dei miei utenti se ne sono andati comunque”.

Puoi spiegare ai tuoi utenti tutto quello che vuoi e con tutti gli argomenti migliori che hai, la gente potrebbe semplicemente non 1) capire e 2) rendersi conto o decidere che dopo tutto non si fida di te.

Su Discourse, molti strumenti o azioni di moderazione sono ovvi. Menu aggiuntivi, strumenti, pulsanti, vari avvisi, cose rosse, roba del genere…
Ma su un profilo utente pubblico, con questa particolare scheda “messaggi diretti”, niente: solo il normale pulsante “messaggi diretti” che visualizza l’elenco dei messaggi diretti dell’utente (in cui possiamo persino aggiungere noi stessi come nuovo partecipante, se non erro!).

Certo, siamo amministratori, responsabili ed etici e cose del genere, e gli utenti devono implicitamente fidarsi di noi quando si registrano sul nostro sito web.

Ma penso che aggiungere una piccola cosa alla possibilità di leggere i messaggi diretti sarebbe una buona cosa.

Che si tratti di un popup di conferma come “Stai per leggere i messaggi diretti di altre persone: OK / ANNULLA”, o di avere questa scheda invisibile per impostazione predefinita, ma impostarla come visibile tramite un’impostazione di amministrazione (finché non la deselezioniamo, o per una durata fissa), o avere la scheda “messaggi diretti” con un colore diverso…
Non lo so. Ma solo una piccola cosa che dica esplicitamente che cliccare su questa scheda è un’azione di moderazione o amministrazione, e non un’azione normale.

Sì, ha senso. “Questa azione potrebbe esporre informazioni percepite come private da questo utente, si desidera procedere?”

Suggerirei anche di impostare Admin - Utenti - Registra le visualizzazioni dei messaggi personali da parte dell'amministratore per altri utenti/gruppi. su true per impostazione predefinita,

e se abilitato, includere un avviso “Questa azione verrà registrata” in quel popup.

Intendi questo?

Sì, esatto. Il mio ricordo era sbagliato e ho confuso 50 utenti con il 50% (ma forse aveva 100 utenti in totale, chi lo sa ). Grazie per averlo scoperto.

Lo abilito sempre sui miei forum e ammetto di non capire esattamente il senso di renderlo disattivabile: perché uno non dovrebbe voler registrare questo? Quasi tutto viene registrato comunque, e leggere i messaggi diretti di altri utenti è un’azione particolarmente sensibile/intrusiva.
Sono anche a favore di averlo abilitato per impostazione predefinita.

Sì, questo è un po’ allarmante. Anche Full Mod ha accesso ai Messaggi quando è nel Menu Utente? O è solo Admin?
A mio parere, questo dovrebbe essere disattivabile se una mod ha la capacità senza dover usare un plugin. Se non erro, questo potrebbe causare problemi con i paesi europei che hanno leggi sulla privacy più severe.

Solo amministratori. Ho usato “moderazione” nel mio messaggio, ma intendevo “un’azione di moderazione come amministratore”.
Ancora una volta, l’obiettivo dell’argomento è solo una proposta per rendere il pulsante dei messaggi diretti sui profili pubblici visivamente (da un popup di conferma o nascondendolo per impostazione predefinita in alcune impostazioni di amministrazione o altro) più un’azione di amministrazione che un’azione regolare.

Modifica Preferirei che la discussione non derivasse su questioni legali/privacy, ma solo su questioni di design, per favore, anche se capisco le preoccupazioni (che sono state discusse molte volte, come detto nel mio argomento).

Ti sbagli. Non esiste alcuna legge che vieti ai moderatori di accedere ai messaggi privati
(Non esiste nemmeno alcuna legge che lo consenta o lo vieti agli amministratori).

Se ti riferisci al GDPR, la questione è più complessa. In sostanza, deve esserci una buona ragione e un buon processo alla base di tale accesso.

È un sollievo. Ma concordo pienamente sul fatto che dovrebbe esserci un avviso quando si esplora quell’opzione, poiché può causare ogni sorta di problemi.

Abbiamo avuto un moderatore promosso ad amministratore che lo stava usando per invadere e inserirsi nei messaggi diretti. Fortunatamente, non gli è stato permesso di mantenere la posizione a lungo dopo che le sue trasgressioni sono state segnalate.

Io stesso non ero a conoscenza, come amministratore, di avere quella funzione fino al tuo post. Ho cliccato su un link di un argomento che un utente aveva pubblicato, che si è rivelato essere un link a un PM/DM, e sono stato in grado di visualizzarlo. In cui scenario dovrebbe anche apparire un popup, a mio parere.

Grazie per aver esposto questo problema.

È a questo che mi riferisco. Sebbene non ci sia molta familiarità con esso. Immagino che potresti cavartela se venisse rivelato che i messaggi privati/diretti non sono privati, forse.

Per quanto riguarda l’OP, dovremmo lasciare che questa parte della conversazione si concluda. Anche se hai qualche spunto da condividere, fallo tramite messaggio privato. Grazie per la chiarificazione.

Sì, assolutamente, l’avviso proposto sarebbe una parte importante del processo menzionato in precedenza.

Un’altra cosa che ho sperimentato ieri.

Un admin ha selezionato il contenuto di un messaggio diretto, lo ha citato e ha copiato-incollato il risultato nella nostra categoria privata di moderazione. Sembrava questo (mi permetto di mostrarlo dato che non ci sono assolutamente informazioni sensibili):

image767×398 33 KB

Quindi ho cliccato sul titolo della citazione per vedere l’argomento (che ha portato a uno degli ultimi messaggi, non al primo messaggio della discussione diretta):

image2498×1369 101 KB

Mi sono piaciuti entrambi i messaggi perché inizialmente pensavo fosse un argomento pubblico. L’unico indizio sul mio schermo che indicava che si trattava di un messaggio diretto in cui non ero un partecipante era l’elenco degli utenti sotto il titolo, nell’intestazione… Su cui la mia attenzione non era assolutamente focalizzata. Perché stavo leggendo i messaggi.

Ho scorrevole verso l’alto per leggere gli altri messaggi e la prima cosa che ho visto è stata l’icona della busta davanti al titolo dell’argomento (avrei potuto vedere la sezione con i partecipanti, ma di nuovo, il mio cervello l’ha ignorata):

image2498×1369 143 KB

Così ho capito il mio “errore” e ho rimosso il “mi piace” dai messaggi.

Ovviamente, capisco che ho potuto vedere il contenuto dell’argomento dato che ero un admin.
Ma forse potrebbe essere impostato un avviso simile (vedi il mio primo post e i suggerimenti di altre persone)? Forse un popup di avviso quando si fa clic sul link dell’argomento, simile a quello che @RGJ ha suggerito, qualcosa come “stai per vedere un messaggio diretto in cui non sei un partecipante” o qualcosa del genere?

Non sono sicuro. Non ho riscontrato questo problema per 3 anni usando Discourse, quindi potrebbe essere un caso raro… Ma comunque, il mio piccolo errore è successo ed è molto possibile che avrei potuto anche rispondere all’argomento senza nemmeno sapere che si trattava di un messaggio diretto in cui non ero incluso, il che potrebbe scatenare un problema (utenti normali che vedono un admin rispondere direttamente nella loro discussione “privata” )

In qualità di community manager che ha gestito community con argomenti incredibilmente sensibili (community sulla salute mentale, community per adulti di nicchia, community di criptovalute) supporto fortemente questo, inclusa una cartella di log separata per l’analisi degli amministratori ogni volta che viene utilizzata, chi l’ha utilizzata e per visualizzare quale utente.

Ad esempio, in una community che ho aiutato a gestire (che in realtà era una grande quantità di community più piccole e più affiatate), ho dovuto creare e implementare una policy poiché avevamo situazioni in cui gli amministratori visualizzavano messaggi da persone della loro community iperlocale, solo perché. Alla fine abbiamo creato una situazione di conflitto di interessi in cui non potevi gestire un caso se si trattava di qualcuno con cui avevi avuto a che fare, o che si trovava nella tua zona (un ampio gruppo remoto di CM).

Quando abbiamo abilitato il logging, abbiamo dovuto licenziare QUATTRO CM, poiché si è scoperto che stavano usando i loro poteri per spiare efficacemente la loro community locale. Altri CM avevano ammesso di aver compiuto l’azione anche prima che scrivessimo una policy contro di essa.

Continuo a sostenere qualcosa di simile o la rimozione della capacità degli amministratori di visualizzare i messaggi privati e impersonare. Possibilmente come impostazione del sito all’installazione… ci sono così tante community di Discourse che non sono tipici forum di messaggistica. Molti di noi che non hanno bisogno/vogliono che il ruolo di amministratore sia gli occhi che possono vedere tutte le informazioni poiché alcuni di noi lo usano per informazioni sensibili e in gruppi aziendali.

C’è stata una costante resistenza da parte degli sviluppatori e di altri qui che giustificano sempre perché gli amministratori dovrebbero avere i livelli di accesso attuali per gestire una community, ma raramente ascoltano il fatto che ci sono amministratori di community che chiedono letteralmente di limitare pesantemente e registrare qualsiasi attività di quel tipo o rimuovere la funzionalità.

Penso che sarebbe utile avere, all’installazione/configurazione iniziale, la disabilitazione dell’impersonificazione e dell’accesso ai messaggi privati… con un input richiesto a tutti gli amministratori/moderatori per approvare una modifica globale delle impostazioni per abilitarla su una community attiva con un’installazione disabilitata.

Chiamiamola installazione massima privacy vs community standard.

Ci sono troppi casi d’uso e applicazioni a questo punto per le community di Discourse per non pensare a questo tipo di cose…

Secondo me dovrebbero esserci 2 livelli per gli amministratori. Invece di solo admin e Mod. Con un admin di alto livello con accesso completo ma, come menzionato, un chiaro avviso se si avventura, per così dire, in aree sensibili. Poiché non è chiaro che qualcuno visualizzerà messaggi personali. Un admin di alto livello dovrebbe essere degno di fiducia. Un admin secondario potrebbe avere accesso elevato per poter aggiornare il forum o aggiungere/modificare temi e componenti.

Anche l’aggiunta di un comando che deve essere eseguito sul server root per abilitare/disabilitare potrebbe essere un’idea come ulteriore garanzia di sicurezza.

Da un lato, se un utente ha bisogno di un mod/admin in un pm, può invitarne uno. Oppure, se ad esempio un sito coinvolge giovani, l’interruttore della riga di comando può essere utilizzato quando necessario.

Supporto pienamente questo, in relazione all’impersonificazione di utenti da parte dell’amministratore di livello superiore con l’account di accesso al server.

E spero che la lettura dei messaggi privati delle persone scompaia con il plugin di crittografia.

Questo non è completamente correlato, ma abbiamo una sorta di “protezione” di questo tipo per eliminare definitivamente un post:

Consiglierei il plugin Encrypt poiché aggiunge la crittografia end-to-end ai messaggi privati/DM. Non è facile da aggirare. Solo i membri invitati nel messaggio privato/DM possono leggere quei messaggi.

Non sono sicuro se questo si applichi alle caselle di posta di gruppo. Probabilmente no.

Per chi fosse interessato, ecco un componente tematico che sposta l’accesso iniziale ai messaggi privati degli utenti dalla loro pagina alla pagina dell’amministratore con un nuovo pulsante (mantenendo l’intento nel contesto dell’amministratore): Alternative User PMs Button For Admin. Spero sia d’aiuto!