Diventa amministratore

hellekin · 4 Dicembre 2024, 7:43am

Problema

Gli amministratori potrebbero accedere inavvertitamente a parti riservate del forum
Tali accessi indesiderati non vengono registrati
Gli amministratori potrebbero non accorgersi di errori di configurazione a causa dei loro superpoteri che nascondono loro l’esperienza normale

Descrizione della funzionalità

Sulla stessa linea della funzionalità Impersonating a user, un utente con privilegi di amministratore dovrebbe poter diventare amministratore per eseguire solo le attività amministrative necessarie.

A differenza della funzionalità di impersonificazione, questa funzionalità non dovrebbe richiedere il logout per recuperare i privilegi utente normali.

Questa funzionalità:

consentirebbe agli amministratori di navigare nel sito come utenti normali, condividendo l’esperienza quotidiana degli altri utenti;
impedirebbe agli amministratori di accedere inavvertitamente a spazi privati del forum;
proteggerebbe l’accesso non autorizzato a tali spazi privati con un registro effettivo degli accessi degli amministratori.

Il primo punto è utile perché l’esperienza dell’amministratore è molto diversa dall’esperienza dell’utente e gli amministratori potrebbero non essere in grado di rendersi conto dei problemi degli utenti (ad esempio, relativi a permessi errati impostati su categorie o gruppi, ecc.)

Il secondo punto potrebbe essere critico nei casi in cui un gruppo richiede riservatezza: fare clic su un link potrebbe portare l’amministratore a violare inavvertitamente la riservatezza.

Il terzo punto consentirebbe agli amministratori di essere responsabili dell’accesso non autorizzato a parti riservate del forum, mentre attualmente non lo sono affatto.

Come potrebbe funzionare?

L’escalation dei privilegi dovrebbe essere disponibile solo per account amministratore effettivi;
“Amministratore” potrebbe essere considerato come un Livello di Fiducia aggiuntivo (ad esempio, livello 5 ^[1]);
Il ritorno alla modalità “normale” semplicemente riporterebbe al precedente TL;

Invece di fornire una nuova “prospettiva da amministratore”, la modalità Amministratore potrebbe aggiungere un ulteriore livello di interfaccia utente:

evidenziando i link che funzionano solo perché sei amministratore
evidenziando le categorie a cui hai accesso solo perché sei amministratore
evidenziando le appartenenze ai gruppi che puoi vedere perché sei amministratore (ad esempio, se sei membro del gruppo con accesso limitato all’appartenenza al gruppo, l’evidenziazione non si applicherà)
evidenziando le informazioni che solo gli amministratori possono vedere

Un riferimento al film di Chris Marker Level 5 in cui un programmatore di computer cerca di completare il videogioco del marito defunto sulla battaglia di Okinawa per superare il lutto. ↩︎

Moin · 4 Dicembre 2024, 7:52am

Penso che questo sia simile a

hellekin · 4 Dicembre 2024, 8:32am

Vedo come sia simile, tuttavia ci sono problemi nell’altra discussione che si collegano al problema qui:

Tranne che, quando sei amministratore, non hai modo di vedere che un link a una conversazione confidenziale a cui normalmente non avresti accesso è in realtà off-limits. Questo è solo un caso (che ci è capitato ieri e ci ha spinto ad avviare questo argomento) in cui la non separazione tra amministratore e partecipante può essere problematica.

Inoltre, vedo che il team di Discourse ha l’abitudine di essere tutto amministratori, il che crea un superpotere orizzontale e non aiuta, come cultura, a differenziare tra uso normale e uso privilegiato. Non tutte le community sono orizzontali, a volte le persone tecniche che hanno privilegi di amministratore non dovrebbero essere fidate con tutto sul forum, e questo non è un caso limite: è stato integrato nei sistemi informatici fin dall’inizio che root può vedere e fare tutto. Il privilegio certamente comporta responsabilità, ma a volte la benevolenza non è sufficiente, soprattutto quando non si riesce a distinguere tra ciò che è permesso e ciò che è vietato.

Sebbene la soluzione “usa un altro profilo del browser” per gestire un account normale e uno da amministratore non sia molto pratica, soprattutto dato che tutti siamo abituati ad avere gli strumenti a portata di mano. Avviare un nuovo browser ogni volta che è necessaria una funzionalità di amministratore può essere molto fastidioso (non a tutti piace né possono permettersi di avere risorse inattive occupate sulla propria macchina). Inoltre, non impedisce la situazione del \u003cabbr title=“Bastard Operator From Hell”\u003eBOFH\u003c/abbr\u003e con occhi indiscreti.

I tempi cambiano. Qui abbiamo un amministratore che ha accidentalmente avuto accesso a informazioni riservate che hanno influenzato la vita di altre persone, e non avrebbe dovuto. Questa è una violazione della privacy. È un problema di sicurezza.

Comprendo la potenziale complessità, ma il problema principale rimane e dovrebbe probabilmente essere risolto in un modo o nell’altro. IMHO, sarebbe utile rivisitare la questione ora che la base di codice è maturata e valutare se l’approccio proposto sarebbe fattibile.

Sì! Avere avvisi e protezioni su questo tipo di problemi (di sconfinamento) sarebbe utile.

Sui plugin esistenti:

GitHub - discourse/discourse-anonymous-moderators potrebbe essere utile, ma una recente modifica nella gestione delle email (Enabling e-mail normalization by default) potrebbe cambiarlo – fare affidamento su impostazioni predefinite nulle potrebbe rivelarsi problematico.
GitHub - discourse/discourse-staff-alias: Allow staff users to post under an alias è limitato solo alla pubblicazione.

Preferirei una separazione davvero netta tra partecipante e amministratore utilizzando la classica e ben nota metafora sudo, per tutte le ragioni sopra esposte.

Ed_S · 4 Dicembre 2024, 12:11pm

Concordo sul fatto che il meccanismo sudo – in Windows il dialogo Controllo account utente – sia un buon modo per un account di avere la potenziale capacità di agire come amministratore, ma senza averla sempre.

Su uno dei miei forum, l’approccio che utilizzo è avere un login da amministratore, ma di solito utilizzare Impersona utente per accedere sempre e costantemente come account normale. Quando ho bisogno di agire come amministratore, effettuo il logout ed effettuo nuovamente l’accesso. Ciò significa due account.

Un vantaggio di due account è che quando pubblico o commento con il mio account normale, non appaio come una persona potente e importante. (A volte, commentare come amministratore verrà interpretato come un pronunciamento o un’azione di polizia. Dipende dalla cultura e dalle aspettative del lettore.)

hellekin · 4 Dicembre 2024, 8:11pm

Poiché questa funzionalità, se alla fine verrà implementata (non dimenticare di votare!), richiederà tempo prima che ciò accada, stiamo valutando l’utilizzo di due account. Ciò significa: convertire gli account esistenti in account normali. Ecco cosa dovrebbe comportare (proverò a modificare questo post, o a renderlo una wiki in modo da poter mantenere una documentazione aggiornata che copra le avvertenze)…

non ancora testato: è tutto teorico, a braccio.

Conversione di un account amministratore Discourse esistente in un account utente normale

Poiché non vogliamo perdere la cronologia e l’“esperienza del forum” dall’account originale, dobbiamo procedere con cautela prima di rimuovere i privilegi di amministratore.

Dato utente me con email original-me@email.example.

Primo caso: account amministratore in `DISCOURSE_DEVELOPER_EMAILS`

Se l’email dell’account amministratore fa parte di DISCOURSE_DEVELOPER_EMAILS, non può essere retrocesso a un account normale.

Crea un nuovo account che diventerà amministratore, ad es. me2 con email original-me+admin@email.example.
Da me, concedi i privilegi di amministrazione al nuovo account me2.
Modifica app.yml (o web_only.yml se utilizzi la configurazione a doppio container) per sostituire original-me@email.example con original-me+admin@email.example e ricostruisci il container.
Da me2, retrocedi l’account originale me.

Ora hai un account utente normale con tutta la tua esperienza (me) e un nuovo account solo amministratore (me2): vai su “Dopo”.

Secondo caso: account amministratore promosso da utente normale

Questo è più semplice, poiché puoi retrocedere questo utente senza dover ricostruire il container.

Crea un nuovo account che diventerà amministratore, ad es. me2 con email original-me+admin@email.example.
Da me, concedi i privilegi di amministrazione al nuovo account me2.
Da me2, retrocedi l’account originale me.

Ora hai un account utente normale con tutta la tua esperienza (me) e un nuovo account solo amministratore (me2): vai su “Dopo”.

Dopo

Prima, avevi un singolo account utente con privilegi di amministratore: ricevevi notifiche per gli aggiornamenti di sistema, revisionavi i flag e potevi accedere a tutte le aree, comprese quelle che non dovresti vedere (ad es. messaggi privati degli utenti se non crittografati) o categorie riservate a gruppi di cui non fai parte. Tutto questo è sparito! Ora devi connetterti regolarmente al tuo account amministratore per fare tutto ciò che eri abituato a fare dal tuo unico account utente/amministratore (il che è un altro motivo per cui la funzionalità proposta è utile). Devi sviluppare questa disciplina per aprire i due account contemporaneamente se desideri notifiche di amministrazione in tempo reale (ad es. usando una scheda privata in Firefox, o un equivalente per altri browser web).

Avvertenze

Non dovresti usare il tuo account amministratore per nient’altro che per l’amministrazione.

Non navigare nelle discussioni mentre sei amministratore! Questo tempo è perso per la progressione del tuo livello di fiducia, e non sai mai quando potresti cliccare su un link che ti è vietato come persona.

Se ti capita di leggere qualcosa mentre sei nel tuo account amministratore che ti fa reagire, o passa alla tua scheda utente normale e naviga all’URL originale, o, se il tuo utente normale non ha accesso a quella sezione: dimenticalo immediatamente (a meno che, ovviamente, non dovresti reagire con il tuo cappello da amministratore).

Dovresti configurare il tuo account amministratore in modo che appaia diverso

Cambia il tuo avatar per assicurarti di non confondere mai il tuo account amministratore e il tuo account utente normale. Rendi invisibile il tuo profilo. Cambia l’immagine di sfondo o il tema, il tuo nome per includere “ADMIN” o qualcosa come “QUESTO ACCOUNT NON POSTA”, ecc. Assicurati solo di non volere essere tentato di postare con il tuo account amministratore, mai.

Dovresti configurare il tuo account amministratore per filtrare le notifiche

DA FARE: dettagliare questa sezione

Dovresti configurare il tuo account amministratore per silenziare tutte le notifiche via email (a meno che tu non voglia ricevere tali notifiche, ad es. per evitare di dover tenere sempre aperta una scheda di amministrazione) E sei in grado di distinguere chiaramente quali sono destinate a te come persona, o al tuo ruolo di amministratore.

Probabilmente vorrai essere notificato sul tuo desktop per catturare flag e messaggi importanti.

Cosa fare con la categoria staff e i sussurri?

Sì, hai colpito un altro problema complicato con l’uso di due account separati per la partecipazione amministrativa e normale. A volte devi interagire sul forum come amministratore. Questo è probabilmente inevitabile. Cerca di non diventare schizofrenico e cerca di minimizzare i tuoi interventi staff il più possibile. Per favore, riporta le tue tattiche per affrontare questo arduo problema e motiva tutto il team di amministratori di Discourse a implementare questa funzionalità.

Vantaggi della soluzione a due account

Chiara separazione tra partecipazione e amministrazione (in un certo senso)
Non puoi commettere errori dal tuo account normale
Tutte le tue azioni di amministrazione sono registrate correttamente
Come utente, sperimenti il forum come qualsiasi altro utente, quindi puoi facilmente individuare problemi di permessi
Se ti capita di postare come admin ma intendevi postare come te stesso, puoi cambiare la proprietà al tuo altro account (ma questo in qualche modo vanifica l’avere due account).

NateDhaliwal · 4 Dicembre 2024, 10:49pm

Quindi gli amministratori saranno utenti normali o TL4, ma potranno attivare la “modalità amministratore” per utilizzare le funzionalità speciali di amministrazione?
Se è così, cosa impedisce agli amministratori di lasciarla sempre attiva?

Ed_S · 5 Dicembre 2024, 4:31pm

Questa è un’osservazione interessante. C’è un modo per colmare il divario - permettere a un gruppo di controllare la consegna delle notifiche, senza il contenuto? “Ci sono post contrassegnati” “C’è un messaggio in attesa” “La tua installazione è obsoleta”

Ed_S · 5 Dicembre 2024, 4:34pm

Ecco un’idea: il ruolo di amministratore non può pubblicare in una categoria o thread pubblico, non può mettere “mi piace” a un post.

Ar_D · 5 Dicembre 2024, 6:14pm

Significa anche che l’account potrebbe essere ignorato come un normale utente. Ricevendo solo aggiornamenti necessari dall’amministratore se vogliamo ignorarli.
Ottima cosa davvero

Argomento		Risposte	Visualizzazioni
"Regular mode" for admins and moderators (e.g. something like "sudo") Feature	33	3154	Dicembre 6, 2024
Admin Restrictions? Feature	22	6477	Ottobre 17, 2024
The Impersonated user should be notified that they are being Impersonated Feature impersonate	21	2268	Maggio 7, 2019
Privacy plugin that makes it more difficult for admins to read PMs Feature personal-messages	56	6829	Luglio 24, 2018
Add 'stop impersonating' link to user avatar dropdown when impersonating Feature completed , impersonate	43	6896	Ottobre 29, 2025