Add 'stop impersonating' link to user avatar dropdown when impersonating

I really like this idea @John_Lehmann

Sometimes when I impersonate someone (albeit, not very often) I forget and keep trying to do admin type things and then realize I’m in someone elses account.

Another downside of the current process is that you have to click on the users avatar. I was impersonating a users that had 5 new notifications. When I clicked his profile, so I could log out of his account, it marks those notifications as read and no longer shows the (5) badge showing he has new notifications. How sad for him, when he returns! Hopefully he got some email notifications that will pull him back in!

Another community that I built and currently manage, is on the Higher Logic platform. I can’t tell you how much more I enjoy using Discourse than Higher Logic. But, now that I have that out of the way, I will say that I do like their method of impersonating users…

image1441×1444 301 KB

There’s a bar at the top of the screen, providing a constant visual reminder that you’re impersonating and a button to STOP, as well as a little orphan button at the bottom of the screen allowing you to STOP.

I don’t think they need both buttons. Top of the screen is sufficient.

I love @John_Lehmann’s suggestion with a more bold/obtrusive bar that stands out so you remember to get out of the user account before posting and doing other stuffs.

Not critical by any means.

I just came to meta, to see if there was a plugin for this, or something.

Just ended up needing this today. I use the impersonate feature to post category guidelines, or other pinned topics or replies in them under the @system account. What I currently do is post them under mine, then change ownership to @system, but what if someone has the topic set to watching, then they would see that it was me. I’m not necessarily trying to be anonymous when posting these, although, I just don’t want those posts under my name. I could make an alt whose purpose is to post these, although I would have to log in from a private window each time, which is bad ux.

Ich möchte auch zu meinem Benutzerkonto zurückkehren können, wenn die Nachahmung abgeschlossen ist. Dies ist bei allen Implementierungen, die ich für diese Funktion in WordPress verwendet habe, möglich.

Ich stimme zu, es ist nicht unbedingt notwendig, aber es ist eine riesige Änderung und ich glaube nicht, dass es so kompliziert ist, ein Banner oben mit der Abmeldeschaltfläche anzubringen. Wir könnten wahrscheinlich ein Plugin erstellen, aber eine einfache Änderung am Kern wäre sicherlich besser.

+1 für die Idee von @John_Lehmann.

Ich frage mich, ob diese gesamte Funktion überdacht werden muss.

„Impersonate“ war schon immer ein sehr nützliches Werkzeug, das als eine Art Hack implementiert wurde.

Eine nicht-hacky Implementierung könnte deutlich weniger gruselig und viel einfacher als Standardfunktion von Discourse zu rechtfertigen sein.

• Wenn Sie einen Benutzer imitieren, haben Sie nur eine „schreibgeschützte“ Ansicht (es sei denn, eine spezielle versteckte Website-Einstellung ist aktiviert).
• Banner oben, wie von @John_Lehmann vorgeschlagen.
• Mehr Zeremoniell beim Nachahmen, z. B. mit großer Macht kommt große Verantwortung.

Insgesamt ist die Funktion zum Debuggen von Dingen sehr nützlich, aber im Namen von jemand anderem zu handeln, ist extrem gefährlich.

Ich frage mich, ob es für den Anfang, @codinghorror, sinnvoll wäre, die aktuelle „Impersonate“-Funktion zu einer Funktion zu machen, die auf Discourse-Websites deaktiviert ist und eine Änderung einer versteckten Website-Einstellung erfordert, um sie zu aktivieren? Nicht sicher?

@sam stimme zu, entschuldige das Tag, aber ich spreche das seit Jahren zufällig an und es ist für manche Leute wichtig. Die Funktion „Impersonate“ ist diejenige, die die Privatsphäre der Benutzer bei Discourse zu einem ernsten Anliegen macht, insbesondere wenn Discourse als interne Kommunikations- und Kollaborationsplattform (am Arbeitsplatz) verwendet wird.

Wir haben es in der Vergangenheit genutzt und bringen eine Discourse-Instanz für unsere Gewerkschaft zurück. Nicht für die Mitglieder, sondern für die gewählten Funktionäre. Solange ich die alte Instanz verwaltet habe, war ich ein regulärer Vertreter wie die meisten. Ich bin jetzt in der Führung/Verwaltung der Gruppe, daher würde meine Rolle in der Organisation nicht mit den Fähigkeiten eines Discourse-Admins kollidieren, alle Materialien in allen Kategorien einzusehen. Aber damals tat sie das…

Unsere Führungsgruppe hatte ernsthafte Bedenken, dass ein Admin die Möglichkeit hatte, ihre Diskussionen in ihrer (privilegierten) Kategorie einzusehen. Ich habe es notdürftig gelöst, indem ich es für Nicht-Führungsgruppenmitglieder mit CSS versteckt habe (auch vor Admins versteckt) und darauf hingewiesen habe, wie man die Protokolle einsehen kann, um zu sehen, ob ich jemals die spezifische Theme-Komponente namens „Benutzerdatenschutz“ deaktiviert habe.

Die andere GROSSE Sorge war, dass ein aktiver Vertreter, der ein Discourse-Admin ist (wiederum eher als ein beauftragter IT-Typ), einfach einen anderen Benutzer nachahmen, private Nachrichten lesen und an den persönlichen Einstellungen und Sachen von jemandem herumfummeln könnte.

Alles, was ich sagen kann, ist, dass es großartig wäre, wenn es vielleicht eine Möglichkeit gäbe, sich darauf zu konzentrieren, dass Admins keine globalen Ansichtsrechte haben, sondern eher Zugriff auf die Website-Administration, standardmäßig nur Inhalte sehen, die ihnen zugewiesen sind. Außerdem ein klares Benachrichtigungssystem, das für alle Benutzer bestimmt ist, um hervorzuheben, ob das Admin-Personal an solchen Dingen herumfummelt.

Nennen Sie es etwas Ähnliches wie Discourse Teams, vielleicht Discourse Professional. Etwas, das nicht so sehr als Internetforum gedacht ist, sondern mehr als eine geschäftskundige Kollaborations- und Kommunikationsplattform. Discourse würde in dieser Rolle GLÄNZEN, vorausgesetzt, die Kapazität des Admins, alles zu sehen, kann eingeschränkt/eingedämmt oder eliminiert werden. (Am zentralsten ist das Nachahmen und das Lesen von Nachrichten über das Profil-/Nachrichten-Tab).

Persönlich glaube ich nicht, dass ich ein großes Verlangen habe, einen bestimmten Benutzer zu imitieren, sondern eher eine Rolle/Gruppenmitglied/Vertrauensstufe zu imitieren.

Ich habe das neulich gefunden, wo ich viele private Kategorien habe, die mir als Administrator angezeigt werden, aber ich wollte sehen, wie die Themenliste für jemanden auf T0-, T1- usw. Ebene aussehen würde.

Vielleicht existiert diese Funktion bereits und ist von der Imitationsfunktion getrennt. Ich schätze, darüber hinaus bin ich mir nicht sicher, wofür Leute die Imitation noch verwenden.

Würde diese Funktion für die meisten ausreichen?

Es gibt so viel zu diesem Thema unter The Impersonated user should be notified that they are being Impersonated. Ich stimme immer noch den dort gezogenen Schlussfolgerungen zu. Kurz gesagt, es ist eine Sackgasse, Administratoren können alles tun, wenn Sie Administratoren nicht vertrauen, haben Sie keine Administratoren.

Vielleicht wäre ein anderer Ansatz, das Nachahmen durch Folgendes zu erschweren:

• Hinzufügen eines Popups „Sind Sie sicher?“, das daran erinnert, dass dies protokolliert wird und wenn sie nur etwas testen möchten, sie es vorziehen könnten, einen Testbenutzer zu erstellen und ihn danach wieder zu löschen. Quasi eine Just-in-Time-Schulung.
• Senden des Links zum Nachahmen per E-Mail (dies hätte den zusätzlichen Vorteil, sich in einem separaten Fenster anmelden zu können?) ähnlich dem Backup-Download

Mir gefällt auch die Idee einer Admin-Einstellung, um das Nachahmen zu deaktivieren, standardmäßig deaktiviert. Es muss nicht einmal eine versteckte Einstellung sein, aber die Einstellung, wie bei der Wiederherstellung von Backups, wird das Risiko verringern, dass jemand in die Gewohnheit gerät, einen anderen Benutzer nachzuahmen oder dies versehentlich tut.

Wenn sie die Kontrolle über das System haben, haben sie Zugriff auf die Daten. Sie benötigen Administratoren, denen Sie vertrauen können, und Ihre Benutzer müssen darüber aufgeklärt werden, dass keine Erwartung auf Privatsphäre besteht. Das gilt für alle Software, die zur Kommunikation und Zusammenarbeit verwendet wird, auch wenn Sie durchgehend Verschlüsselung einsetzen.

Sie können nicht einmal den Zugriff auf Kategorien und PMs wirklich überprüfen. Jeder entschlossene böswillige Administrator mit Root-Zugriff kann einfach ein Backup vom Dateisystem holen und diese direkt aus der Datenbank lesen.

Das ist ein wichtiger Punkt. Es gibt wahrscheinlich immer noch einige Fälle, in denen die Nachahmung nützlich wäre, aber dies würde meinen Bedarf an der Nachahmung von Benutzern fast vollständig beseitigen.

Jedes Mal, wenn ein Benutzer ein seltsames Problem hat, das ein Administrator oder seine Pseudo-Benutzer nicht finden können oder das nur wenige oder keine anderen Benutzer melden.

Privatsphäre ist eine relative Frage. Ich behaupte, die meisten Foren befinden sich in einer Situation, in der ein Benutzer keine privaten Informationen hat. Daher sollte die Identitätsübernahme zumindest eine Option sein. Eine automatische Benachrichtigung, wenn dies geschieht, ist keine schlechte Idee, auch wenn sie ziemlich oft unnötig ist – aber es ist eine offenere Lösung.

[quote=„jimkleiber, Beitrag:30, Thema:13806″]
eher um eine Rolle/Gruppenmitglied/Vertrauensstufe zu imitieren.
[/quote]
Für das Protokoll wurde hier eine Nachahmung der Vertrauensstufe vorgeschlagen:

Ich denke, das ist in Ordnung, ich habe das immer als eine Debugging-Funktion für Entwickler betrachtet, nicht als eine echte „Funktion“.

Wenn Sie jemanden nachahmen und fertig sind, müssen Sie sich abmelden, sich wieder anmelden und die 2FA abschließen, wenn Sie sie eingerichtet haben.

Stattdessen kann im Benutzermenü eine Schaltfläche mit der Aufschrift „Nachahmung beenden“ vorhanden sein, und wenn Sie darauf klicken, werden Sie in Ihr Konto eingeloggt.

Ich persönlich denke, dass dies eine sehr hilfreiche Funktion beim Nachahmen wäre.

Wir haben gerade eine experimentelle Funktion zusammengeführt, mit der Sie einen Benutzer imitieren können, ohne sich danach abmelden zu müssen.

Wenn Sie dies verwenden möchten, aktivieren Sie die versteckte Website-Einstellung experimental_impersonation und melden Sie hier alle Probleme.

Danke, dass du enthüllt hast, was die Alten wollten!

Super! Ich werde das regelmäßig verwenden.

Oh, vielen Dank dafür!

Sobald dies stabil ist, können Sie sich impersonation_enabled_groups vorstellen und den umgekehrten Weg gehen: als normales Mitglied teilnehmen und nur dann zum Administrator wechseln, wenn Sie ihn benötigen … alias sudo-Modus … Es könnte Wege geben, die Persona nach Bedarf zu ändern … Zum Beispiel beschränkt der Discourse Staff Alias Pseudo-Identitätswechsel auf einen einzigen Team-Alias, aber durch die Erweiterung der Identitätswechsel könnte man die Persona nach verschiedenen Kriterien ändern …

Zum Beispiel könnte ein Mitglied des @well-being.team als Gruppenalias posten, um persönliche Animositäten abzuwehren, ein Autor könnte als @narrator oder @characterN posten, um eine interaktive Geschichte zu schreiben, ein Lehrer könnte einen Schüler imitieren, um seine Perspektive zu verstehen … alles gemäß anpassbaren Gruppen.

Eine wichtige Funktion wäre meiner Meinung nach, dass Identitätswechsel-Sitzungen ordnungsgemäß protokolliert und dem imitierten Benutzer bekannt sind.

Ich habe diese experimental_impersonation-Funktion ausprobiert und sie sieht gut aus! Sie tut, was sie verspricht, und ich schätze es, dass ich nicht den Umweg über das Aus- und erneute Einloggen als ich selbst machen muss.

@moin hat in 🇩🇪 Fehler in der Deutschen Übersetzung? Hier melden! - #108 by Moin darauf hingewiesen, dass „impersonate“ und „stop impersonating“ nicht gut ins Deutsche übersetzt werden. Es ist schwer, die richtigen Worte zu finden, die die volle Bedeutung dessen erfassen, was man tut. Das mag auch für andere Sprachen gelten, aber ich habe es nicht überprüft.

Ich frage mich, ob wir zu einfacheren Begriffen wechseln wollen (Wortspiel beabsichtigt), wie z. B. Wechseln zu @user_to_impersonate auf der Benutzeradministrationsseite und dann Zurückwechseln zu @user_who_impersonated auf der Schaltfläche, um die Nachahmung zu beenden. Das wäre wahrscheinlich einfacher zu übersetzen und auch für Nicht-Muttersprachler leichter zu verstehen.

Beim Testen heute wurden auch einige andere Probleme aufgedeckt:

• Ich denke, es muss ein Modal zur Nachahmung geben, ähnlich wie beim Löschen oder Zusammenführen. Dies ermöglicht es Ihnen, abzubrechen, falls Sie versehentlich auf die Schaltfläche klicken, und informiert den Administrator darüber, was Sie tun werden, dass es protokolliert wird und dass Sie zurückwechseln können, ohne sich erneut anmelden zu müssen.
• Die Tatsache, dass Sie eine Person nachahmen und zurückwechseln, wird im Protokoll der Mitarbeiteraktionen protokolliert, aber alle Aktionen, die während der Nachahmung ausgeführt werden, werden nicht protokolliert. Ich denke, es wäre sinnvoll, auch das zu protokollieren, da diese Funktion anfällig für Missbrauch ist, sei es versehentlich oder absichtlich.
• Ein altbekanntes Problem besteht weiterhin: Wenn Sie einen Benutzer nachahmen, wird dessen letzter Sichtungszeitpunkt in der Benutzerliste und der Benutzerverwaltung und (vermutlich) in „Wer ist online“, falls das Plugin installiert ist, aktualisiert.

Ich mag diese Switch-Idee, weil es im Finnischen schwierig ist, eine passende Übersetzung zu finden. Wir haben ein oder zwei Wörter dafür, aber keines davon klingt sehr gut. Switch würde gut funktionieren.