皆さん、こんにちは。
ユーザーの1人がアカウントを乗っ取られました。その影響を軽減するためのワークフローは、決して理想的なものではありませんでした。
rails console は以下の目的で必要でした。
さらに、Eメールの変更が、送信メールログにのみ表示され、他の場所には表示されないことが判明しました。
AIスパム検出器は新規アカウントによるスパムを検出しましたが、この信頼レベルと投稿数に対しては有効になっていませんでした。国を変更する場合や、1年以上投稿がない場合に、AIスパム検出器を有効にするオプションを含めるのは良い考えかもしれません。
長年にわたる素晴らしいソフトウェア、そしてこのような軽微な欠点にもかかわらず、皆さんに感謝します。
それらのアクションはすべて、管理者 > ユーザーページからも実行できます。コンソールからのみ可能であるという印象をどこで受けたのか分かりません。
メールアドレスを変更すると新しいメールアドレスに確認プロンプトが送信されますが、古いメールアドレスはすぐに削除されません。
アカウントの無効化ボタンが正しかったかもしれませんが、それがメールによるパスワードリセットを強制するかどうかは明確にラベル付けされていません。
やはりすべてのセッションを終了ボタンを見つけることができず、なりすましによるパスワード変更は理論的には機能しますが、特にユーザーのアカウントが管理者やモデレーターが話せない言語に設定されている場合、非常に煩雑です。
ユーザーのメールアドレスが侵害され、その結果、Discourseアカウントが侵害されたという妥当な理由がある場合、管理者としてメールアドレスを変更し、古いメールアドレスを削除することができます。
アカウントを単に非アクティブとしてマークするだけで、メールの再認証が強制され、実質的にすべてのアクティブセッションが終了します。
いいえ、それを試みましたが、新しいメールアドレスの確認メールが送信されてしまい、そのメールがクリックされるまで古いメールアドレスはデータベースに残っており、おそらく有効なままであったため、実行できませんでした。
そのような場合は、代わりにサスペンションを使用できます。
これをバグレポート/機能リクエストとして開いたのは、後で改善できる可能性があるためです。具体的なタスクはすでに完了しており、ユーザーはアカウントを取り戻しました。
これはバグだとはあまり思えません。私の意見では、これはエッジケースですらありません。ユーザーがデータや身元について不注意になることは一般的ではなく、十分な安全策が講じられています。このプロセスを容易にすることは、むしろ副作用をもたらす可能性があります。これは人々が日常的に対処すべきことではなく、状況が十分に重要であれば、管理者は軽減策の進め方を知っています。コピーはもう少し改善できるかもしれませんが、UIにオプションを追加することには断じて賛成しません。