大家好,
我们的一位用户帐户被盗用。缓解这种情况的工作流程远非理想。
需要使用 rails 控制台来执行以下操作:
此外,我们发现电子邮件更改仅在出站电子邮件日志中可见,在其他任何地方都不可见。
AI 垃圾邮件检测器捕获了针对新帐户的垃圾邮件,但未启用该检测器以应对当前的信任级别和帖子数量。也许为更改国家/地区和/或超过一年没有发帖的情况启用 AI 垃圾邮件检测器是一个好主意。
感谢大家多年来提供的出色软件,尽管存在诸如这样的微小缺陷。
所有这些操作也可以从“管理”>“用户”页面执行。我不确定是什么让您觉得只能从控制台进行?
更改电子邮件地址后,系统会向新地址发送确认提示,但不会立即删除旧地址。
“停用账户”按钮可能是正确的选择,但它没有明确标明是否会通过电子邮件强制重置密码。
我仍然找不到“终止所有会话”按钮,理论上通过模拟用户身份更改密码是可行的,但过程非常混乱,特别是当用户的账户设置为管理员/版主不懂的语言时。
如果您有合理的理由认为用户的电子邮件已被泄露,进而导致其 Discourse 帐户被盗用,您可以作为管理员更改其电子邮件并删除旧的电子邮件。
您可以简单地将帐户标记为停用,这将强制重新验证电子邮件,并有效地清除所有现有会话。
不,我试过了,但我做不到,因为它为新电子邮件地址生成了一封确认邮件,在点击该邮件之前,旧的电子邮件地址仍然在数据库中并且很可能是有效的。
在这种情况下,可以使用暂停(suspension)代替。
我特意将此作为错误报告/功能请求提出,以便将来可能改进它,具体的任务已经完成,用户也已恢复了其账户。
我不太确定这是一个错误。依我看,这甚至都不是一个边缘情况。用户粗心大意地处理他们的数据或身份不是常见情况,而且已经有足够的保护措施。使这个过程更容易可能会产生更多的副作用。这不是人们应该每天都要处理的事情,如果情况足够危急,管理员知道如何进行缓解。也许文案可以改进一点,但绝对不赞成向用户界面中添加更多选项。
此外,没有一个按钮可以在不先解除禁令的情况下延长禁令时间。
“全部撤销会话并强制更改密码和强制更改电子邮件”按钮有什么问题吗?在其他软件中见过。
员工终于可以恶意使用它了。
我最近提交了一项功能请求,希望管理员能够对用户电子邮件地址拥有更多控制权,这也将解决此用例:
是的,这不是一个常见事件(幸运的是)。但当它(或类似情况)发生时非常关键,需要快速响应。这不是学习如何操作 Bash/rails 控制台或提交支持工单的时候!
但是在临时停用账户时,不需要操作 rails 控制台。在我近十年的管理各种 Discourse 社区的经验中,我从未遇到过需要使用 rails 控制台的情况(除了迁移社区或执行批量操作)。我理解在某些情况下直接修改数据库被认为是防止进一步损害的更安全的选择,但我不确定是在用户个人资料还是管理员页面中添加更多选项是否有意义,因为这两个页面目前已经非常拥挤了。
确实如此——而且可以非常有效地阻止他们的行为。
我也很确定,管理员强制合并帐户并随后删除冒犯性的(现在是非主要的)电子邮件地址也会很有效——而且也可以用于在其他情况下强制更改电子邮件。但这非常像是一种变通方法。