Sinto muito por ouvir isso. Imagino que muitos não estejam cientes dessa chamada “brecha” no sistema de mensagens privadas (PM).
Eu utilizei o componente de tema #customization:theme-component que move ou altera isso. Acho que muitos não percebem o quão fácil/temptador é usá-lo para visualizar PMs que são visíveis apenas para a equipe (apenas administradores, a menos que ativado para moderadores completos).
Talvez seja uma boa ideia simplesmente adicionar uma configuração do site para desativar/ocultar o aviso/opção de mensagens para administradores como eu, que prefeririam ter uma camada extra de confirmação antes de prosseguir com a visualização de PMs dos quais não somos convidados.
Como um toque adicional, ocultar o botão de curtir ao visualizar, pois é muito fácil acioná-lo sem querer, já que pode ser necessário visualizar uma árvore/conversa de PM. Quando um membro vê que alguém curtiu um PM ao qual não pertence. Isso aconteceu comigo quando um usuário ficou um pouco tóxico em relação a mim. Tínhamos um moderador que fazia gaslighting nele sobre as políticas do site, que eu estava seguindo conforme o cliente. Esse moderador não ficou feliz que eu desfiz suas reações excessivas usando silêncio/suspensão de forma inadequada. Então, ele fazia gaslighting em outros membros para que eles fizessem exigências, banissem usuários e reclamassem de mim para seus superiores.
Tive sorte de que o usuário que eu acidentalmente curti e descurti foi compreensivo, mas ficou bastante chocado inicialmente ao perceber que um PM não era realmente privado como esperado. Caso contrário, poderia ter explodido como uma violação de confiança em toda a comunidade.
Criptografia de ponta a ponta é uma solução bastante complexa para esse problema e trouxe uma tonelada de outros problemas de UX. Portanto, seria muito melhor se pudéssemos resolver essa preocupação de ‘acesso acidental pela equipe’ de uma maneira mais simples.
Temos essa configuração de site que estamos desenvolvendo há algum tempo. Acabei de desocultá-la para que esteja disponível na interface do administrador:
Isso suprimirá tópicos e mensagens privadas da interface para administradores, a menos que eles sejam participantes. Observe, no entanto: não é um recurso de segurança. Administradores ainda podem acessar qualquer coisa. É apenas um atrito extra para mitigar os casos ‘acidentais’ que você descreveu.
Em que locais as MPs são suprimidas?
Acabei de ativar a configuração e criei uma categoria que limitei a um grupo do qual não sou membro. Isso funcionou como descrito. Não vejo essa categoria na lista de categorias.
Também notei que clicar em um link para uma MP me leva à página “esta página é privada”. Mas ainda consigo ler partes de MPs em outros locais. Então, acho que entendi mal o recurso.
Por exemplo, consigo ler o início da mensagem ao verificar quais posts um usuário curtiu ou reagiu, o que faço com frequência (exceto quando sou um administrador).
Este é um movimento bastante positivo. No entanto, se me permite, se não estiver configurado dessa forma. Torne esta configuração obrigatória para fazer login no servidor e na linha de comando.
Aprecio a complexidade da criptografia de ponta a ponta e suspeito que, após os problemas recentes que o fundador do Telegram teve por ter sido preso na França. Que o fim a fim não será tão seguro quanto já foi.
Também entendo que alguns casos de uso realmente precisam ter Mensagens Diretas (mensagens pessoais podem ser facilmente confundidas com privadas) podem precisar ser monitoradas.
Por exemplo:
Escolas, empresas usando-o como plataforma para recursos de funcionários, digamos, específicos da empresa. Etc.
Portanto, como sugestão. Uma configuração de linha de comando para habilitar o acesso amplo de administradores a MPs/mensagens de grupo, etc.
Com opções:
Habilitação total permanente enquanto estiver ativado
Habilitação para o administrador alvo. Nenhum outro administrador tem acesso. Bom se alguns administradores estiverem lá para gerenciamento de temas e componentes de temas.
Opção de limite de tempo hora=x após x reverte para o estado anterior de desativado.
Talvez uma opção para direcionar um usuário ou grupo específico para investigar um abuso suspeito não relatado ou solicitação de aplicação da lei com uma ordem judicial necessária, talvez?
Sim, esses são os dois lugares onde essa configuração suprime o conteúdo
De fato, essa configuração do site é apenas um pouco de atrito extra para evitar acesso acidental nos lugares mais comuns. Ela não cobre todas as partes da UI e não é considerada um recurso de segurança.
Administradores tendo acesso total a todo o conteúdo está profundamente enraizado no código-fonte do Discourse. Mudar isso não será trivial.
Em sua forma atual, não é um recurso de segurança, então restringi-lo ao console não faria diferença para a segurança de qualquer maneira.
Percebo que ambos estão pedindo uma versão mais completa deste recurso, o que é um pedido completamente válido. Pode ser algo que façamos no futuro, mas receio que não tenhamos planos de priorizá-lo no curto prazo.
A página de atividade do usuário é um local bastante comum para mim; eu a uso frequentemente como usuário. E é um dos lugares onde é muito difícil notar que você também lê mensagens privadas lá como administrador.
Talvez a descrição da configuração esteja prometendo demais, pois diz “na interface do administrador” em vez de “em alguns locais comuns da interface do administrador”.
Suprimir tópicos e mensagens privadas da interface do administrador, a menos que eles sejam participantes. Este não é um recurso de segurança: os administradores sempre podem acessar todo o conteúdo do site, se necessário.
Bem, é aqui que nós, como equipe do site, também precisamos reconhecer e apreciar o ditado “Roma não foi construída em um dia”.
Requer tempo e recursos. É fantástico que você compartilhe a atualização progressiva da equipe, introduzindo estes primeiros passos muito positivos. E enquanto fornecemos feedback/críticas, é apenas para ajudar a promover as necessidades reais de ter isto eventualmente mais completo.
No tópico de @Canapin, que foi feito há muito tempo, houve um exemplo claro de que se uma comunidade descobrir o uso deste recurso/exploit, isso pode realmente prejudicar uma comunidade. Nesse exemplo, um membro aqui mencionou um concorrente que o utilizou e foi descoberto e exposto, perdendo a confiança da comunidade, resultando em um número justo de pessoas deixando aquele fórum e juntando-se ao deles.
Tendo estado envolvido com o Discourse por mais de 7 anos, observei a equipe repensar sua posição sobre uma variedade de coisas às quais eles eram totalmente contra a implementação. Como a opção para os usuários bloquearem outros. Embora seja um começo, ainda há muita paridade necessária com outras plataformas que provaram que um bloqueio/ignorar usuário mais completo é necessário e não interfere realmente em ter uma boa discussão em um tópico onde os usuários usaram o bloqueio que é mútuo. A forma atual é mais como um banimento de sombra pessoal. O usuário bloqueado ainda pode responder a um usuário que o bloqueou.
Isso é justo. Que tal isso como uma melhoria para a descrição?
Suprimir tópicos privados e PMs em algumas partes da interface para administradores. O conteúdo ainda será visível em alguns locais. Este não é um recurso de segurança: os administradores sempre podem acessar todo o conteúdo do site.
nós realmente damos as boas-vindas a este recurso, pois administramos uma comunidade 100% pseudônima e não permitimos que os usuários postem nomes reais ou endereços, etc.
Um desafio que temos é habilitar uma maneira segura de trocar endereços de envio para os concursos em nossa comunidade. Antes, usávamos a criptografia E2E para garantir que os usuários pudessem enviar seus endereços via PM para o patrocinador sem que administradores ou moderadores tivessem acesso.
Para o nosso caso de uso específico, gostaríamos de ver configurações de permissão baseadas em grupos. Dessa forma, apenas os participantes reais podem enviar uma PM à qual administradores/moderadores não têm acesso.
Este componente de tema de personalización funciona bien para mover “Mensajes” a la página de administración de usuarios con la etiqueta “Mostrar Mensajes” para dejar claro su propósito.
simplesmente adicionar uma configuração do site para desativar/ocultar o aviso/opção de mensagens para administradores como eu, que prefeririam ter uma camada extra de confirmação antes de prosseguir com a visualização de PMs dos quais não somos convidados.
