آسف جدًا لسماع ذلك. أتخيل أن الكثيرين لا يدركون هذه الثغرة، إذا جاز التعبير، في نظام الرسائل الخاصة.
لقد استخدمت Theme component الذي ينقل أو يغير ذلك. أعتقد أن الكثيرين لا يدركون مدى سهولة/إغراء استخدامه لعرض الرسائل الخاصة التي يمكن للموظفين (المسؤولين فقط ما لم يتم تمكينها للمشرفين بالكامل).
ربما فكرة لإضافة إعداد موقع ببساطة لإيقاف تشغيل/إخفاء رسالة التحذير/الخيار للمسؤولين مثلي الذين يفضلون طبقة إضافية قبل المتابعة في عرض الرسائل الخاصة التي لم تتم دعوتهم إليها.
كإضافة، قم بإخفاء زر الإعجاب إذا كنت تعرضه لأنه من السهل جدًا الضغط عليه عن طريق الخطأ دون معرفة ذلك، حيث قد يكون من الضروري عرض شجرة/محادثة الرسائل الخاصة. عندما يرى عضو أن شخصًا ما قد أعجب برسالة خاصة ليست جزءًا منها. حدث هذا معي عندما أصبح مستخدم ما سامًا تجاهي. حيث كان لدينا مشرف سيء يمارس عليه التلاعب النفسي بشأن سياسات الموقع. التي كنت أتبعها من العميل. لم يكن هذا المشرف سعيدًا لأنني سألغي ردود أفعاله المبالغ فيها باستخدام الصمت/التعليق بشكل غير لائق. لذلك كان يتلاعب نفسيًا بأعضاء مختلفين لجعل الأعضاء يطالبونني بحظر المستخدمين والشكوى مني إلى رؤسائه.
كنت محظوظًا لأن المنشور الذي أعجبت به عن طريق الخطأ وألغيته كان المستخدم متفهمًا ولكنه كان مصدومًا في البداية لأن الرسالة الخاصة لم تكن خاصة حقًا كما هو متوقع. وإلا كان يمكن أن ينفجر كخرق للثقة على مستوى المجتمع.
التشفير من طرف إلى طرف هو حل معقد جدًا لهذه المشكلة، وجلب معه الكثير من مشاكل تجربة المستخدم الأخرى. لذلك سيكون من الأفضل بكثير إذا تمكنا من حل مخاوف “وصول الموظفين العرضي” بطريقة أبسط.
لدينا إعداد الموقع هذا الذي كنا نقوم بتطويره منذ فترة. لقد قمت للتو بإلغاء إخفائه حتى يكون متاحًا في واجهة المسؤول:
سيؤدي هذا إلى إخفاء المواضيع والرسائل الخاصة من واجهة المستخدم للمسؤولين، ما لم يكونوا مشاركين. يرجى ملاحظة مع ذلك: إنها ليست ميزة أمنية. لا يزال بإمكان المسؤولين الوصول إلى أي شيء. إنها مجرد احتكاك إضافي للتخفيف من الحالات “العرضية” التي وصفتها.
في أي أماكن يتم كتم الرسائل الخاصة؟
لقد قمت للتو بتفعيل الإعداد وإنشاء فئة قمت بتقييدها لمجموعة لست عضواً فيها. وقد نجح ذلك كما هو موصوف. لا أرى تلك الفئة في قائمة الفئات.
لاحظت أيضاً أن النقر على رابط لرسالة خاصة يأخذني إلى صفحة “هذه الصفحة خاصة”. لكن لا يزال بإمكاني قراءة أجزاء من الرسائل الخاصة في أماكن أخرى. لذا أعتقد أنني أسأت فهم الميزة.
على سبيل المثال، يمكنني قراءة بداية الرسالة عند التحقق من المشاركات التي أعجب بها مستخدم أو تفاعل معها، وهو ما أفعله غالباً (باستثناء عندما أكون مسؤولاً).
هذه خطوة إيجابية للغاية. ومع ذلك، إذا سمحت لي، إذا لم يتم إعداده بهذه الطريقة. اجعل هذا الإعداد يتطلب تسجيل الدخول إلى الخادم وسطر الأوامر.
أقدر تعقيد التشفير من طرف إلى طرف وأشتبه في أنه بعد المشكلات الأخيرة التي واجهها مؤسس Telegram بسبب اعتقاله في فرنسا. أن التشفير من طرف إلى طرف لن يكون آمنًا كما كان في السابق هناك.
أتفهم أيضًا أن بعض حالات الاستخدام المحددة تتطلب حقًا وجود رسائل مباشرة (يمكن الخلط بين الرسائل الشخصية والخاصة حقًا) قد تحتاج إلى مراقبتها.
على سبيل المثال:
المدارس، الشركات التي تستخدمه كمنصة لموارد الموظفين، على سبيل المثال، خاصة بالشركة. إلخ.
لذلك كاقتراح. إعداد سطر أوامر لتمكين الوصول على مستوى المسؤول إلى الرسائل الخاصة / رسائل المجموعات إلخ.
مع خيارات
تمكين كامل دائم أثناء التشغيل
تمكين للمسؤول المستهدف. لا يمتلك المسؤولون الآخرون القدرة. جيد إذا كان بعض المسؤولين موجودين لإدارة السمات ومكونات السمات.
خيار تحديد الوقت بالساعة = x بعد x يعود إلى الحالة السابقة للإيقاف.
ربما خيار لاستهداف مستخدم أو مجموعة معينة للتحقيق في إساءة استخدام مشتبه بها غير مبلغ عنها أو طلب من سلطة إنفاذ القانون مع أمر محكمة ضروري ربما؟
نعم، هذان كلاهما من الأماكن التي تمنع فيها هذه الإعدادات المحتوى
بالفعل، إعداد الموقع هذا هو مجرد احتكاك إضافي لمنع الوصول العرضي في الأماكن الأكثر شيوعًا. لا يغطي جميع أجزاء واجهة المستخدم، ولا يعتبر ميزة أمنية.
يتمتع المسؤولون بالوصول الكامل إلى جميع المحتويات بعمق في الكود المصدري لـ Discourse. لن يكون تغيير ذلك أمرًا سهلاً.
في شكله الحالي، لا يعتبر ميزة أمنية، لذا فإن تقييده بوحدة التحكم لن يحدث فرقًا في الأمان بأي حال من الأحوال.
أدرك أنكما تطلبان نسخة أكثر اكتمالاً من هذه الميزة، وهو طلب صالح تمامًا. قد يكون شيئًا نقوم به في المستقبل، لكنني أخشى أنه ليس لدينا خطط لإعطائه الأولوية في المستقبل القريب.
صفحة نشاط المستخدم هي مكان شائع جدًا بالنسبة لي؛ أستخدمها بشكل متكرر كمستخدم. وهي أحد الأماكن التي يصعب جدًا ملاحظة أنك تقرأ رسائل خاصة هناك أيضًا كمسؤول.
ربما يكون وصف الإعدادات واعدًا جدًا، حيث يقول “في واجهة المستخدم الإدارية” بدلاً من “في بعض الأماكن الشائعة لواجهة المستخدم الإدارية”.
قم بقمع المواضيع والرسائل الخاصة من واجهة المستخدم الإدارية ما لم تكن مشاركًا فيها. هذه ليست ميزة أمنية: يمكن للمسؤولين دائمًا الوصول إلى جميع المحتويات على الموقع إذا لزم الأمر.
حسنًا، هذا هو المكان الذي نحتاج فيه نحن كموظفي الموقع إلى الاعتراف وتقدير المقولة المأثورة “روما لم تُبنَ في يوم واحد”
يتطلب الأمر وقتًا وموارد. إن مشاركتك للتحديث التدريجي للفريق الذي يقدم هذه الخطوات الأولى الإيجابية للغاية أمر رائع. وبينما نقدم الملاحظات/الانتقادات. فإن ذلك فقط للمساعدة في تعزيز الاحتياجات الحقيقية لجعل هذا الأمر أكثر اكتمالاً في النهاية.
في موضوع @Canapin الذي تم إنشاؤه منذ فترة طويلة، كان هناك مثال واضح على أن اكتشاف المجتمع لاستخدام هذه الميزة/الاستغلال يمكن أن يضر بالمجتمع بشدة. في ذلك المثال، ذكر عضو هنا أن منافسًا استخدم هذا وتم اكتشافه وفضح، وفقد ثقة المجتمع مما أدى إلى مغادرة عدد لا بأس به من المنتدى وانضمامهم إلى منتداهم.
بعد أن شاركت في Discourse لأكثر من 7 سنوات، لاحظت أن الفريق يعيد التفكير في موقفه بشأن مجموعة متنوعة من الأشياء التي عارض تنفيذها بشدة. مثل خيار للمستخدمين لحظر الآخرين. بينما هذه بداية لذلك. لا يزال هناك الكثير من التكافؤ المطلوب مع المنصات الأخرى التي أثبتت أن حظر/تجاهل المستخدم بشكل أكثر اكتمالاً ضروري ولا يتداخل فعليًا مع إجراء مناقشة جيدة في موضوع استخدم فيه المستخدمون الحظر المتبادل. الشكل الحالي أشبه بحظر شخصي. لا يزال بإمكان المستخدم المحظور الرد على مستخدم قام بحظره.
قم بإخفاء المواضيع الخاصة والرسائل الخاصة في بعض أجزاء واجهة المستخدم للمسؤولين. سيظل المحتوى مرئيًا في بعض الأماكن. هذه ليست ميزة أمنية: يمكن للمسؤولين دائمًا الوصول إلى جميع المحتويات على الموقع.
نحن نرحب حقًا بهذه الميزة حيث ندير مجتمعًا مجهول الهوية بنسبة 100٪ ولا نسمح للمستخدمين بنشر أي أسماء حقيقية أو عناوين وما إلى ذلك.
أحد التحديات التي نواجهها هو تمكين طريقة آمنة لتبادل عناوين الشحن للمسابقات في مجتمعنا. من قبل، استخدمنا التشفير من طرف إلى طرف (E2E) للتأكد من أن المستخدمين يمكنهم إرسال عناوينهم عبر رسالة خاصة (PM) إلى الراعي دون وصول المسؤولين أو المشرفين.
بالنسبة لحالة الاستخدام الخاصة بنا، نود بشدة رؤية إعداد الأذونات المستندة إلى المجموعات. بهذه الطريقة، يمكن للمشاركين الفعليين فقط إرسال رسالة خاصة (PM) لا يملك المسؤولون / المشرفون حق الوصول إليها.
لإضافة إعداد موقع ببساطة لإيقاف تشغيل/إخفاء رسالة التحذير/الخيار للمسؤولين مثلي الذين يفضلون طبقة إضافية قبل المتابعة في عرض الرسائل الخاصة التي لم تتم دعوتهم إليها.
