la cuenta de uno de nuestros usuarios fue comprometida. El flujo de trabajo para mitigarlo no fue el ideal.
La consola de Rails fue necesaria para:
Forzar el cambio de la dirección de correo electrónico
Forzar el cambio de la contraseña a algo aleatorio para forzar un restablecimiento de contraseña por correo electrónico
Finalizar todas las sesiones activas
Además, descubrimos que el cambio de correo electrónico solo era visible en los registros de correo electrónico saliente y en ningún otro lugar.
El detector de spam de IA detectó ese spam para cuentas nuevas, pero no estaba habilitado para ese nivel de confianza y número de publicaciones. Quizás sería una buena idea incluir la opción de habilitar el detector de spam de IA para cambios de país y/o para usuarios sin publicaciones en más de un año.
Gracias a todos por el excelente software a lo largo de los años, a pesar de fallos menores como este.
Todas esas acciones también se pueden realizar desde la página de Admin > Usuarios. ¿No estoy seguro de qué le dio la impresión de que solo era posible desde la consola?
Cambiar el correo electrónico envía una solicitud de confirmación a la nueva dirección, pero no elimina la anterior inmediatamente.
El botón de desactivar cuenta podría haber sido el correcto, pero no está claramente etiquetado si esto obliga a un restablecimiento de contraseña por correo electrónico.
Aún no pude encontrar un botón de eliminar todas las sesiones y, aunque cambiar la contraseña a través de suplantación de identidad funciona en teoría, es muy complicado, especialmente cuando los usuarios tienen su cuenta configurada en un idioma que el administrador/moderador no habla.
Si tiene razones plausibles de que la dirección de correo electrónico de un usuario esté comprometida y, a su vez, haya provocado que su cuenta de Discourse se vea comprometida, usted, como administrador, puede cambiar su correo electrónico y eliminar el correo electrónico anterior.
Simplemente puede marcar una cuenta como desactivada, lo que forzará una nueva verificación de correo electrónico y esencialmente anulará todas las sesiones existentes.
No, lo intenté y no pude hacerlo porque generó un correo electrónico de confirmación para la nueva dirección de correo electrónico y, hasta que no se hiciera clic en él, el antiguo seguía en la base de datos y probablemente era válido.
Abrí esto como un informe de error/solicitud de característica a propósito para posiblemente mejorarlo más tarde, la tarea concreta ya se ha realizado y el usuario recuperó su cuenta.
No estoy muy seguro de que esto sea un error. Esto ni siquiera es un caso límite en mi opinión. Que los usuarios sean descuidados con sus datos o identidad no es algo común y existen suficientes salvaguardas. Hacer este proceso más fácil podría tener más efectos secundarios. Esto no es algo con lo que la gente deba lidiar a diario y si la situación es lo suficientemente crítica, los administradores saben cómo mitigarla. Quizás el texto podría mejorarse un poco, pero definitivamente no estoy a favor de añadir más opciones a la interfaz de usuario.