Adicione um aviso ao verificar mensagens pessoais de um perfil público de usuário, como administrador

Não discutirei aqui como e por que um administrador deve ser capaz de ler mensagens diretas de outras pessoas (já foi discutido muitas vezes). Além disso, renomeá-las para “mensagens diretas” em vez de “mensagens privadas” aqui foi inteligente. Também não discutirei o Criptografia do Discourse. Minha mensagem é sobre comunidades que não usam este plugin.

No entanto, tenho um pequeno pedido, que segue minha experiência descrita aqui:
https://meta.discourse.org/t/feature-request-regular-mode-for-admins-and-moderators-something-like-sudo-for-the-ui-basically/211617/19?u=canapin

Também adiciono que se precisarmos colar uma captura de tela de um perfil público em nosso fórum por qualquer motivo, os usuários podem se surpreender que nossa captura de tela contenha a aba “mensagens diretas” de um perfil público de usuário!

Como 99,9% dos usuários pensam que “mensagem privada” significa “realmente privada” na Internet porque nunca foram educados sobre isso, então implicar, dizer ou explicar a eles que os administradores podem ler facilmente mensagens “privadas” pode (causaria?) uma reação negativa.

Há alguns anos, li um pequeno depoimento aqui (não consegui encontrá-lo com o motor de busca, mas gostaria de lê-lo novamente se alguém o encontrar!), onde um usuário encontrou essa situação, ele explicou que 50 de seus usuários abandonaram seu fórum.
Alguém respondeu que é assim que as mensagens privadas funcionam na internet em geral, neste tipo de software, pelo menos.
Mas a primeira pessoa respondeu algo como “e ainda assim, 50 dos meus usuários foram embora de qualquer maneira”.

Você pode explicar a seus usuários o quanto quiser e com todos os melhores argumentos que tiver, as pessoas podem simplesmente não 1) entender e 2) perceber ou decidir que não confiam em você, afinal.

No Discourse, muitas ferramentas ou ações de moderação são óbvias. Menu extra, ferramentas, botões, vários avisos, coisas vermelhas, coisas assim…
Mas em um perfil de usuário público, com esta aba específica de “mensagem direta”, nada: apenas o botão regular de “mensagem direta” que exibe a lista de mensagens diretas do usuário (na qual podemos até nos adicionar como um novo participante, se não me engano!).

Claro, somos administradores, responsáveis e éticos e tal, e os usuários devem implicitamente confiar em nós quando se registram em nosso site.

Mas acho que adicionar uma pequena coisa à capacidade de ler mensagens diretas seria uma boa coisa.

Seja um pop-up de confirmação como “Você está prestes a ler as mensagens diretas de outras pessoas: OK / CANCELAR”, ou ter esta aba invisível por padrão, mas torná-la visível através de uma configuração de administrador (até que desmarquemos, ou por um período fixo), ou ter a aba “mensagem direta” com uma cor diferente…
Eu não sei. Mas apenas algo que diga explicitamente que clicar nesta aba é uma ação de moderação ou administração, e não uma ação regular.

Sim, faz sentido. “Esta ação pode expor informações que são percebidas como privadas por este usuário, você deseja prosseguir?”

Eu também sugeriria que Admin - Usuários - Registrar visualizações de mensagens pessoais por Administrador para outros usuários/grupos. fosse definido como verdadeiro por padrão,

e se habilitado, incluir um aviso ‘Esta ação será registrada’ nesse pop-up.

Você quer dizer isto?

Sim, exatamente. Minha lembrança estava errada e misturei 50 usuários com 50% (mas talvez ele tivesse 100 usuários no total, quem sabe ). Obrigado por descobrir isso.

Eu sempre o ativo em meus fóruns e admito que não vejo exatamente o ponto de ter isso como alternável: por que alguém não gostaria de registrar isso? Quase tudo é registrado de qualquer maneira, e ler mensagens diretas de outros usuários é uma ação particularmente sensível/intrusiva.
Também sou a favor de que ele seja ativado por padrão.

Sim, isso é um pouco alarmante. O Full Mod também tem acesso a Mensagens quando está no Menu do Usuário? Ou isso é apenas para o Administrador?

Na minha opinião, isso deveria ser configurável se um mod tiver essa capacidade sem a necessidade de usar um plugin. Se não me engano, isso pode causar problemas com países europeus que têm leis de privacidade mais rigorosas.

Apenas administradores. Usei “moderação” na minha mensagem, mas foi no sentido de “uma ação de moderação como administrador”.
Novamente, o objetivo do tópico é apenas uma proposta para tornar o botão de mensagens diretas em perfis públicos visualmente (com um pop-up de confirmação ou ocultando-o por padrão em algumas configurações de administrador ou algo assim) mais uma ação administrativa do que uma ação regular.

Editar: Eu prefiro que a discussão não se desvie para questões legais/de privacidade, apenas para questões de design, por favor, embora eu entenda as preocupações (que já foram discutidas muitas vezes, como dito no meu tópico).

Você se engana. Não há lei que diga que moderadores não podem acessar mensagens privadas
(Também não há lei que diga que administradores podem - ou não podem - acessá-las).

Se você está se referindo ao GDPR, então é mais complexo. Basicamente, é preciso haver um bom motivo e um bom processo em torno disso.

Fico aliviado. Mas concordo plenamente que deveria haver um aviso ao explorar essa opção, pois ela pode apresentar todo tipo de problemas.

Tivemos um moderador promovido a administrador que estava usando isso para invadir e se inserir em Mensagens Diretas. Felizmente, ele não pôde manter o cargo por muito tempo após suas transgressões serem relatadas.

Eu mesmo não estava ciente de que, como administrador, eu tinha essa função até sua postagem. Cliquei em um link de tópico que um usuário postou e que acabou sendo um link para um PM/DM e pude visualizá-lo. Nesse cenário, também deveria haver um pop-up, na minha opinião.

Obrigado por expor esse problema.

É a isso que me refiro. Embora não o conheça muito bem, imagino que possa ser aceitável se for divulgado que mensagens privadas/diretas não são privadas, talvez.

Com respeito ao OP (autor original), devemos deixar esta parte da conversa concluir. Embora, se você tiver alguns insights para compartilhar, por favor, faça-o por mensagem privada. Obrigado pela clarificação.

Sim, absolutamente, o aviso proposto seria uma parte importante do processo mencionado anteriormente.

Outra coisa que experimentei ontem.

Um administrador selecionou o conteúdo de uma mensagem direta, citou-o e copiou o resultado em nossa categoria privada de moderação. Parecia isto (permito-me mostrá-lo, pois não há absolutamente nenhuma informação sensível):

image767×398 33 KB

Então cliquei no título da citação para ver o tópico (o que levou a uma das últimas mensagens, não à primeira mensagem da discussão direta):

image2498×1369 101 KB

Gostei de ambas as mensagens porque inicialmente pensei que era um tópico público. A única pista na minha tela que indicava que era uma mensagem direta na qual eu não era participante era a lista de usuários sob o título, no cabeçalho… Na qual minha atenção não estava focada. Porque eu estava lendo as mensagens.

Rolei para cima para ler as outras mensagens e a primeira coisa que vi foi o ícone do envelope na frente do título do tópico (eu poderia ter visto a seção com os participantes, mas novamente, meu cérebro a ignorou):

image2498×1369 143 KB

Então percebi meu “erro” e desmarquei as mensagens.

Obviamente, entendo que pude ver o conteúdo do tópico, pois era um administrador.
Mas talvez algum tipo de aviso semelhante (veja meu primeiro post e as sugestões de outras pessoas) pudesse ser configurado? Talvez um pop-up de aviso ao clicar no link do tópico, semelhante ao que @RGJ sugeriu, algo como “você está prestes a ver uma mensagem direta na qual não é participante” ou algo assim?

Não tenho certeza. Não enfrentei esse problema por 3 anos usando o Discourse, então pode ser um caso raro… Mas de qualquer forma, meu pequeno erro aconteceu e é muito possível que eu pudesse até ter respondido ao tópico sem nem saber que era uma mensagem direta na qual eu não estava incluído, o que poderia gerar um problema (usuários regulares vendo um administrador respondendo diretamente em sua discussão “privada” )

Como gerente de comunidade que lidou com comunidades com tópicos incrivelmente sensíveis (comunidades de Saúde Mental, comunidades Adultas de Nicho, comunidades de Cripto) eu apoio fortemente isso, incluindo um arquivo de log separado para análise dos administradores toda vez que for usado, quem o usou e para ver qual usuário.

Por exemplo, em uma comunidade que ajudei a gerenciar (que era na verdade uma grande quantidade de comunidades menores e mais unidas), tive que criar e implementar uma política, pois tivemos situações em que os administradores estavam visualizando mensagens de pessoas em sua comunidade hiperlocal, apenas por fazê-lo. Eventualmente, estabelecemos uma situação de conflito de interesses em que você não poderia lidar com um caso se fosse alguém com quem você teve negócios, ou que estivesse em sua área local (grande grupo remoto de gerentes de comunidade).

Quando ativamos o registro, tivemos que demitir QUATRO gerentes de comunidade, pois descobrimos que eles estavam usando seus poderes para efetivamente espionar sua comunidade local. Outros gerentes de comunidade admitiram ter feito a ação também até que escrevemos uma política contra isso.

Continuo a defender algo como isso ou a remover a capacidade dos administradores de visualizar mensagens privadas e de se fazerem passar por outros utilizadores. Possivelmente como uma configuração do site na instalação… existem tantas comunidades Discourse que não são fóruns de mensagens típicos. Tantos de nós que não precisam/querem que a função de administrador seja os olhos que podem ver toda a informação, pois alguns de nós usam-na para informações sensíveis e em grupos de negócios.

Tem havido uma resistência constante por parte dos desenvolvedores e outros aqui, sempre justificando por que os administradores devem ter os níveis de acesso atuais para gerir uma comunidade, mas raramente eles realmente ouvem o facto de que existem administradores de comunidades que pedem literalmente para restringir fortemente e registar qualquer uma dessas atividades ou remover a funcionalidade.

Penso que seria útil ter, na instalação/configuração inicial, a desativação do acesso a “impersonate” e a mensagens privadas… com uma entrada de todos os administradores/moderadores necessária para aprovar uma alteração de configuração global para ativá-la numa comunidade ativa com uma instalação desativada.

Chame-lhe “max privacy” vs. instalação de comunidade padrão.

Existem demasiados casos de uso e aplicações neste momento para que as comunidades Discourse não pensem neste tipo de coisas…

Na minha opinião, deveria haver 2 níveis para administradores. Em vez de apenas admin e mod. Com um admin superior com acesso total, mas como mencionado, um aviso claro se estiver a aventurar-se, por assim dizer, em áreas sensíveis. Como não fica claro que alguém vai ver mensagens pessoais. Um admin superior deve ser confiável. Um admin secundário pode ter acesso elevado para poder atualizar o fórum ou adicionar/modificar temas e componentes.

Até mesmo adicionar um comando que precise ser executado no servidor raiz para ativar/desativar pode ser uma ideia como uma tranquilidade de segurança adicional.

Por um lado, se um usuário precisar de um mod/admin em uma mensagem privada, ele pode convidar um. Ou se, digamos, um site que envolve jovens, então o switch de linha de comando pode ser usado quando necessário.

Apoio totalmente isso, relacionado a se passar por usuários de administrador de nível superior com conta de acesso ao servidor.

E espero que a leitura de mensagens privadas das pessoas acabe com o plugin de criptografia.

Isso não está totalmente relacionado, mas temos algum tipo de “proteção” (por assim dizer) para excluir permanentemente uma postagem:

Eu recomendaria o plugin Encrypt, pois ele adiciona criptografia de ponta a ponta a mensagens privadas/DM. Não é fácil de contornar. Apenas os membros convidados na mensagem privada/DM podem ler essas mensagens.

Não tenho certeza se isso se aplica a caixas de correio de grupo. Provavelmente não.

Para quem estiver interessado, aqui está um componente de tema que move o acesso inicial das MPs dos usuários de sua página para a página de administração com um novo botão (mantendo a intenção no contexto de administração): Alternative User PMs Button For Admin. Espero que ajude!