Agregar una advertencia al revisar mensajes personales de un perfil público de un usuario, como administrador

No discutiré aquí cómo y por qué un administrador debería poder leer mensajes directos de otras personas (se ha discutido muchas veces). Además, renombrarlos “mensajes directos” en lugar de “mensajes privados” aquí fue inteligente. Tampoco discutiré Discourse Encrypt. Mi mensaje trata sobre comunidades que no usan este plugin.

Sin embargo, tengo una pequeña solicitud, que sigue mi experiencia descrita aquí:
https://meta.discourse.org/t/feature-request-regular-mode-for-admins-and-moderators-something-like-sudo-for-the-ui-basically/211617/19?u=canapin

También añado que si necesitamos pegar una captura de pantalla de un perfil público en nuestro foro por cualquier motivo, ¡los usuarios podrían sorprenderse de que nuestra captura de pantalla contenga la pestaña “mensajes directos” de un perfil público de usuario!

Dado que el 99% de los usuarios piensan que “mensaje privado” significa “realmente privado” en Internet porque nunca fueron educados sobre esto, entonces implicar, decir o explicarles que los administradores pueden leer fácilmente mensajes “privados” podría (¿causaría?) una reacción negativa.

Hace unos años, leí un pequeño testimonio aquí (no pude encontrarlo con el motor de búsqueda, ¡pero me gustaría leerlo de nuevo si alguien lo encuentra!), donde un usuario se encontró con esta situación, explicó que 50 de sus usuarios se fueron de su foro.
Alguien respondió que así funcionan los mensajes privados en Internet en general, al menos en este tipo de software.
Pero la primera persona respondió algo como “y sin embargo, 50 de mis usuarios se fueron de todos modos”.

Puedes explicar a tus usuarios todo lo que quieras y con todos los mejores argumentos que tengas, la gente puede que simplemente no 1) entienda y 2) se dé cuenta o decida que después de todo no confían en ti.

En Discourse, muchas herramientas o acciones de moderación son obvias. Menú extra, herramientas, botones, varias advertencias, cosas rojas, cosas así…
Pero en un perfil de usuario público, con esta pestaña particular de “mensaje directo”, nada: solo el botón regular de “mensaje directo” que muestra la lista de mensajes directos del usuario (¡en la que incluso podemos agregarnos a nosotros mismos como un nuevo participante si no me equivoco!).

Por supuesto, somos administradores, responsables y éticos y todo eso, y los usuarios deben confiar implícitamente en nosotros cuando se registran en nuestro sitio web.

Pero creo que añadir un pequeño algo a la capacidad de leer mensajes directos sería algo bueno.

Ya sea una ventana emergente de confirmación como “Estás a punto de leer los mensajes directos de otras personas: Aceptar / Cancelar”, o tener esta pestaña invisible por defecto, pero configurarla visible a través de una configuración de administrador (hasta que la desactivemos, o por un período fijo), o tener la pestaña “mensaje directo” con un color diferente…
No lo sé. Pero solo algo pequeño que diga explícitamente que hacer clic en esta pestaña es una acción de moderación o administración, y no una acción regular.

Sí, eso tiene sentido. “¿Esta acción podría exponer información que este usuario percibe como privada, desea continuar?”

También sugeriría que la opción “Admin - Usuarios - Registrar vistas de mensajes personales por parte del administrador para otros usuarios/grupos.” esté activada por defecto,

y si está habilitada, incluir una advertencia “Esta acción se registrará” en ese popup.

¿Te refieres a esto?

Sí, exactamente. Mi recuerdo estaba mal y mezclé 50 usuarios con el 50% (pero tal vez tenía 100 usuarios en total, ¿quién sabe? ). Gracias por averiguarlo.

Siempre la activo en mis foros, y admito que no entiendo el punto de que sea conmutable: ¿por qué alguien no querría registrar esto? Casi todo se registra de todos modos, y leer los mensajes directos de otros usuarios es una acción particularmente sensible/intrusiva.
También estoy a favor de que esté activada por defecto.

Sí, esto es un poco alarmante. ¿Full Mod también tiene acceso a los Mensajes cuando está en el Menú de Usuario? ¿O es solo el Administrador?

En mi opinión, esto debería ser conmutable si un mod tiene la capacidad sin necesidad de usar un plugin. Si no me equivoco, esto podría causar problemas con los países europeos que tienen leyes de privacidad más estrictas.

Solo administradores. Usé “moderación” en mi mensaje, pero quise decir “una acción de moderación como administrador”.
De nuevo, el objetivo del tema es solo una propuesta para hacer que el botón de mensajes directos en los perfiles públicos sea visualmente (con un popup de confirmación o ocultándolo por defecto en algunas configuraciones de administrador o lo que sea) más una acción de administración que una acción regular.

Editar: Preferiría que la discusión no se derive a temas legales/de privacidad, sino solo a temas de diseño, por favor, aunque entiendo las preocupaciones (que se han discutido muchas veces, como se dijo en mi tema).

Te equivocas. No hay ninguna ley que diga que los moderadores no pueden acceder a los mensajes privados
(Tampoco hay ninguna ley que diga que los administradores pueden o no pueden acceder a ellos).

Si te refieres al RGPD, eso es más complejo. Básicamente, se reduce a que debe haber una buena razón y un buen proceso en torno a ello.

Eso es un alivio. Pero estoy totalmente de acuerdo en que debería haber una advertencia al explorar esa opción, ya que puede plantear todo tipo de problemas.

Tuvimos un moderador ascendido a administrador que estaba usando eso para invadir e insertarse en Mensajes Directos. Afortunadamente, no se le permitió ocupar el puesto por mucho tiempo después de que se informara de sus transgresiones.

Yo mismo no era consciente de que como Administrador tengo esa función hasta tu publicación. He hecho clic en el enlace de un tema que publicó un usuario que resultó ser un enlace a un PM/DM y pude verlo. En el cual ese escenario también debería dar una ventana emergente, en mi opinión.

Gracias por exponer este problema.

A eso me refiero. Aunque no lo conozco a fondo. Me imagino que podrías estar bien si se revela que los mensajes privados/mensajes directos no son privados, tal vez.

Con respecto al OP, deberíamos dejar que esta parte de la conversación concluya. Aunque si tienes alguna idea que compartir, por favor hazlo en un mensaje privado. Gracias por la aclaración.

Sí, absolutamente, la advertencia propuesta sería una parte importante del proceso mencionado anteriormente.

Otra cosa que experimenté ayer.

Un administrador seleccionó el contenido de un mensaje directo, lo citó y copió el resultado en nuestra categoría privada de moderación. Se veía así (me permito mostrarlo ya que no hay absolutamente ninguna información sensible):

image767×398 33 KB

Así que hice clic en el título de la cita para ver el tema (lo que me llevó a uno de los últimos mensajes, no al primer mensaje de la discusión directa):

image2498×1369 101 KB

Me gustaron ambos mensajes porque al principio pensé que era un tema público. La única pista en mi pantalla que indicaba que era un mensaje directo en el que no era participante era la lista de usuarios debajo del título, en la cabecera… En la que mi atención no estaba enfocada en absoluto. Porque estaba leyendo los mensajes.

Me desplacé hacia arriba para leer los otros mensajes y lo primero que vi fue el icono del sobre delante del título del tema (podría haber visto la sección con los participantes, pero de nuevo, mi cerebro lo ignoró):

image2498×1369 143 KB

Así que me di cuenta de mi “error” y dejé de dar “me gusta” a los mensajes.

Obviamente, entiendo que pude ver el contenido del tema ya que era un administrador.
Pero ¿quizás se podría configurar algún tipo de advertencia similar (ver mi primera publicación y las sugerencias de otras personas)? ¿Quizás una ventana emergente al hacer clic en el enlace del tema, similar a lo que @RGJ sugirió, algo como “estás a punto de ver un mensaje directo en el que no eres participante” o algo así?

No estoy seguro. No me he encontrado con este problema en 3 años usando Discourse, así que podría ser un caso raro… Pero de todos modos, mi pequeño error ocurrió y es muy posible que incluso hubiera podido responder al tema sin siquiera saber que era un mensaje directo en el que no estaba incluido, lo que podría desencadenar un problema (usuarios normales viendo a un administrador responder directamente en su discusión “privada” )

Como administrador de comunidad que ha lidiado con comunidades con temas increíblemente sensibles (comunidades de salud mental, comunidades de adultos marginales, comunidades de criptomonedas), apoyo firmemente esto, incluyendo un archivo de registro separado para que los administradores lo revisen cada vez que se use, quién lo usó y para ver qué usuario.

Por ejemplo, en una comunidad que ayudé a administrar (que en realidad era una gran cantidad de comunidades más pequeñas y unidas), tuve que crear e implementar una política, ya que tuvimos situaciones en las que los administradores veían mensajes de personas de su comunidad hiperlocal, solo porque sí. Finalmente, establecimos una situación de conflicto de intereses en la que no se podía tratar un caso si se trataba de alguien con quien se había tenido tratos, o que estuviera en su área local (un gran grupo remoto de administradores de comunidad).

Cuando habilitamos el registro, tuvimos que despedir a CUATRO administradores de comunidad, ya que resultó que estaban usando sus poderes para espiar efectivamente a su comunidad local. Otros administradores de comunidad admitieron haber realizado la acción también hasta que escribimos una política en contra.

Continúo abogando por algo como esto o por eliminar la capacidad de los administradores para ver mensajes privados e impersonar. Posiblemente como una configuración del sitio al instalar… hay tantas comunidades de Discourse que no son foros de mensajes típicos. Muchos de nosotros que no necesitamos/queremos que el rol de administrador sea los ojos que puedan ver toda la información, ya que algunos de nosotros lo usamos para información sensible y en grupos empresariales.

Ha habido una resistencia constante por parte de los desarrolladores y otros aquí, siempre justificando por qué los administradores deberían tener los niveles de acceso actuales para administrar una comunidad, pero rara vez escuchan el hecho de que hay administradores de comunidades que literalmente piden restringir y registrar cualquier actividad de ese tipo o eliminar la funcionalidad.

Creo que sería útil tener, al instalar/configurar inicialmente, la opción de deshabilitar la suplantación y el acceso a mensajes privados… con la entrada requerida de todos los administradores/moderadores para aprobar un cambio de configuración global para habilitarlo en una comunidad activa con una instalación deshabilitada.

Llamémoslo una instalación de máxima privacidad frente a una instalación comunitaria estándar.

Hay demasiados casos de uso y aplicaciones en este momento para que las comunidades de Discourse no piensen en este tipo de cosas.

En mi opinión, debería haber 2 niveles para los administradores. En lugar de solo admin y Mod. Con un administrador principal con acceso completo, pero como se mencionó, una advertencia clara si se aventura, por así decirlo, en áreas sensibles. Ya que no está claro que alguien vaya a ver mensajes personales. Un administrador principal debería poder ser confiado. Un administrador secundario puede tener acceso elevado para poder actualizar el foro o agregar/modificar temas y componentes.

Incluso agregar un comando que deba ejecutarse en el servidor raíz para habilitar/deshabilitar podría ser una idea como una tranquilidad de seguridad adicional.

Por un lado, si un usuario necesita un mod/admin en un mensaje privado, puede invitar a uno. O si, por ejemplo, un sitio tiene jóvenes involucrados, se puede usar el interruptor de línea de comandos cuando sea necesario.

Apoyo totalmente esto, relacionado con la suplantación de usuarios de administrador de nivel superior con cuenta de acceso al servidor.

Y espero que la lectura de mensajes privados de las personas desaparezca con el plugin de cifrado.

Eso no está completamente relacionado, pero tenemos una especie de “protección” para eliminar permanentemente una publicación:

Recomendaría el plugin Encrypt ya que añade cifrado de extremo a extremo a los mensajes privados/mensajes directos. No es fácil de eludir. Solo los miembros invitados al mensaje privado/mensaje directo pueden leer esos mensajes.

No estoy seguro si esto se aplica a los buzones de correo grupales. Probablemente no.

Para aquellos interesados, aquí hay un componente temático que mueve el acceso inicial de los MP de los usuarios de su página a la página de administración con un nuevo botón (manteniendo la intención en el contexto de administración): Alternative User PMs Button For Admin. ¡Espero que esto ayude!