作为管理员，在检查用户公共资料的私信时添加警告

我不会在这里讨论管理员为什么以及如何能够阅读他人的直接消息（这已经多次讨论过）。另外，将它们重命名为“直接消息”而不是“私人消息”在这里很明智。我也不会讨论Discourse Encrypt。我的消息是关于不使用此插件的社区的。

但是，我有一个小请求，这是基于我在以下链接中描述的经验：
https://meta.discourse.org/t/feature-request-regular-mode-for-admins-and-moderators-something-like-sudo-for-the-ui-basically/211617/19?u=canapin

我还要补充一点，如果我们因为任何原因需要在论坛中粘贴公共个人资料的截图，用户可能会惊讶于我们的截图包含了“用户公共个人资料”的“直接消息”选项卡！

由于 99% 的用户在互联网上认为“私人消息”意味着“真正私密”，因为他们从未接受过这方面的教育，因此暗示、说明或向他们解释管理员可以轻松阅读“私人”消息可能会（会？）引起强烈反对。

几年前，我在这里读到一篇小小的证词（我用搜索引擎找不到它，但如果有人找到了，我很想再读一遍！），其中一位用户遇到了这种情况，他解释说他的 50 名用户离开了他的论坛。
有人回复说，这只是互联网上私人消息的一般工作方式，至少在这种类型的软件中是这样。
但第一个人回复说：“尽管如此，我的 50 名用户还是离开了”。

您可以向您的用户解释所有您想解释的，并用您拥有的所有最佳论据，人们可能只是 1）不理解，和 2）不认识到或决定他们最终不信任您。

在 Discourse 上，许多版主工具或操作都是显而易见的。额外的菜单、工具、按钮、各种警告、红色东西，诸如此类……
但在公共用户个人资料上，对于这个特殊的“直接消息”选项卡，什么都没有：只有一个常规的“直接消息”按钮，显示用户直接消息列表（如果我没记错的话，我们甚至可以添加自己作为新参与者！）。

当然，我们是管理员，负责任且有道德，用户在注册我们的网站时必须默认信任我们。

但我认为，为读取直接消息的能力增加一点东西会是件好事。

无论是像“您即将阅读他人的直接消息：确定 / 取消”这样的确认弹出窗口，还是默认情况下使此选项卡不可见，但通过管理员设置使其可见（直到我们取消勾选，或在固定的一段时间内），或者让“直接消息”选项卡具有不同的颜色……
我不知道。但只是一个小东西，明确说明点击此选项卡是一个版主或管理员操作，而不是常规操作。

是的，这有道理。“此操作可能会暴露被用户视为私密的信息，您要继续吗？”

我还建议将“管理员 - 用户 - 管理员记录其他用户/群组的个人消息视图。”默认设置为 true，

并且，如果启用，请在该弹出窗口中包含警告“此操作将被记录”。

你是说这个，对吧？

是的，完全正确。我的记忆是错误的，把 50 个用户和 50% 搞混了（但也许他总共只有 100 个用户，谁知道呢 ）。感谢你找出这一点。

我总是在我的论坛上启用它，而且我承认我不太明白为什么这个选项可以切换：为什么有人不想记录这个？几乎所有东西都被记录下来了，而阅读其他用户的直接消息是一个特别敏感/侵入性的行为。
我也赞成默认启用它。

这确实有点令人担忧。当处于用户菜单时，Full Mod 是否也能访问 Messages？还是只有管理员可以？

恕我直言，如果 Mod 在不需要插件的情况下拥有此能力，则应该可以切换。如果我没记错的话，这可能会给那些隐私法规更严格的欧洲国家带来问题。

仅限管理员。我在消息中使用了“审核”，但我的意思是“作为管理员的审核操作”。
再次重申，该主题的目标只是一个提议，使公共个人资料上的直接消息按钮在视觉上（通过确认弹出窗口或在某些管理员设置中默认隐藏它，或其他方式）更像是一个管理操作，而不是一个常规操作。

编辑：我宁愿不让讨论偏离法律/隐私方面，而只关注设计方面，谢谢，尽管我理解这些担忧（正如我在主题中所说，这些担忧已经被讨论过很多次）。

你记错了。没有任何法律规定版主不能访问私人消息
（也没有任何法律规定管理员可以——或不可以——访问它们）。

如果你指的是《通用数据保护条例》（GDPR），那就更复杂了。它基本上归结为必须有一个充分的理由和围绕它的充分流程。

谢天谢地。但完全同意应该对探索该选项发出警告，因为它可能带来各种各样的问题。

我们曾有一位被提升为管理员的版主利用这一点侵入并插入到私信中。幸运的是，在他被举报违规行为后，他没有被允许长期担任该职位。

就我个人而言，直到你发帖我才知道作为管理员我拥有该功能。我曾点击过用户发布的帖子链接，结果发现是私信/DM的链接，并且能够查看它。在这种情况下，我认为也应该弹出提示。

感谢你揭露了这个问题。

我指的就是这个。虽然不完全熟悉它。我猜想，如果披露私信/私聊不是私密的，也许是可以的。

至于楼主。我们应该让这部分对话结束。不过，如果您有什么见解可以分享，请在私信中告知。感谢您的澄清。

是的，绝对是这样，提议的警告将是上述过程的重要组成部分。

昨天我遇到的另一件事。

一位管理员选中了一条私信的内容，引用了它，然后将结果复制粘贴到我们的审核私密分类中。看起来是这样的（我允许自己展示它，因为其中绝对没有敏感信息）：

image767×398 33 KB

所以我点击了引用的标题，想看看这个话题（这把我带到了讨论的最后几条消息，而不是直接讨论的第一条消息）：

image2498×1369 101 KB

我喜欢这两条消息，因为我一开始以为这是一个公开话题。我屏幕上唯一表明这是一条我没有参与的私信的线索是标题下的用户列表……而我的注意力完全没有集中在那里。因为我当时在看消息。

我向上滚动阅读其他消息，首先看到的是主题标题前面的信封图标（我本可以看到参与者部分，但同样，我的大脑忽略了它）：

image2498×1369 143 KB

于是我意识到了我的“错误”，取消了对这些消息的点赞。

显然，我明白我能看到这个话题的内容是因为我是一名管理员。
但也许可以设置某种类似的警告（参见我的第一篇帖子和其他人的建议）？也许在点击话题链接时弹出一个警告，就像 @RGJ 建议的那样，类似“你即将看到一条你未参与的私信”之类的提示？

我不确定。我用了三年的 Discourse 都没有遇到过这个问题，所以这可能是一个罕见的情况……但无论如何，我犯了这个小错误，而且我甚至可能在不知道这是一条我未参与的私信的情况下回复了该话题，这可能会引发一个问题（普通用户看到管理员直接回复了他们的“私密”讨论 ）。

作为一名社区经理，我曾管理过涉及极其敏感话题的社区（心理健康社区、成人边缘社区、加密货币社区），我强烈支持这一点，包括每次使用时都为管理员提供单独的日志文件供其审阅，记录使用者、使用时间以及被查看的用户。

例如，在我曾协助管理的一个社区（实际上是由大量更紧密的小型社区组成）中，我不得不制定并实施一项政策，因为曾出现过管理员仅仅因为原因查看他们本地社区中人们的消息的情况。最终，我们建立了一个利益冲突情况，即如果你与某人有过往来，或者他们在你所在的地区，你就不能处理与他们相关的案件（这是一个由社区经理组成的庞大的远程群体）。

当我们启用日志记录后，我们不得不解雇了四名社区经理，因为事实证明他们滥用职权来监视他们的本地社区。其他社区经理也承认曾这样做过，直到我们制定了反对该行为的政策。

我继续倡导类似的做法，或者移除管理员查看私人消息和冒充用户的功能。也许可以作为安装时的站点设置……有如此多的 Discourse 社区并非典型的留言板。我们中的许多人不需要/不希望管理员角色成为能够看到所有信息的眼睛，因为我们中的一些人将其用于敏感信息和商业团体。

开发人员和其他人一直不断地反对，总是为管理员为何应拥有当前的访问级别来管理社区进行辩护，但他们很少真正听取社区管理员要求严格限制和记录任何此类活动或移除该功能的意见。

我认为在安装/初始设置时，禁用冒充和私人消息访问会很有用……并且需要所有管理员/版主输入以批准全局设置更改，以便在已禁用的安装的实时社区上启用它。

称之为“最大隐私”与“标准社区安装”。

目前有太多的用例和应用程序需要 Discourse 社区来考虑这类事情……

依我看，管理员应该分为两个级别。而不仅仅是管理员和版主。最高级别的管理员拥有完全的访问权限，但如前所述，如果他们“冒险”进入敏感区域，应该有明确的警告。因为没有明确说明有人会查看私人消息。最高级别的管理员应该是值得信赖的。次级管理员可能拥有更高的访问权限，能够更新论坛或添加/修改主题和组件。

甚至可以添加一个需要在根服务器上运行以启用/禁用该功能的命令，作为额外的安全保障。

一方面，如果用户在私人消息中需要版主/管理员，他们可以邀请一个。或者，如果一个网站涉及青少年，那么在需要时可以使用命令行开关。

我完全支持这一点，这与冒充拥有服务器访问权限账户的顶级管理员的用户有关。

我希望通过加密插件可以不再读取人们的私人消息。

这并不完全相关，但我们有一些（算是）类似的“保护”机制，用于永久删除帖子：

我推荐使用 Encrypt 插件，因为它为私信/私信添加了端到端加密。不容易被规避。只有被邀请加入私信/私信的成员才能阅读这些消息。

不确定这是否适用于群组邮箱。可能不适用。

对于感兴趣的人来说，这里有一个主题组件，它将用户私信的初始访问从他们的页面移到管理页面，并带有一个新按钮（在管理上下文中保留意图）：https://meta.discourse.org/t/alternative-user-pms-button-for-admin/260952。希望这有帮助！