Themen und Private Nachrichten (PMs) nur Admins anzeigen, wenn sie Teilnehmer sind

Fortsetzung des Gesprächs von: Discourse Encrypt (deprecated) - #236

Es tut mir sehr leid, das zu hören. Ich stelle mir vor, viele sind sich dieses, sozusagen, Schlupflochs im PM-System nicht bewusst.

Ich habe die Theme component verwendet, die dies verschiebt oder verändert. Da ich denke, dass viele nicht wissen, wie einfach/verlockend es ist, PMs einzusehen, die ein Mitarbeiter (nur Admin, es sei denn, für volle Mods aktiviert).

Vielleicht eine Idee , einfach eine Website-Einstellung hinzuzufügen, um die Meldung/Warnung/Option für Administratoren wie mich, die lieber eine zusätzliche Ebene hätten, bevor sie PMs einsehen, die sie nicht eingeladen sind, zu deaktivieren/auszublenden.

Als zusätzlichen Touch die Like-Schaltfläche ausblenden, wenn sie angezeigt wird, da es sehr einfach ist, versehentlich darauf zu klicken, ohne es zu wissen, da es notwendig sein kann, einen PM-Baum/eine Konversation einzusehen. Wenn ein Mitglied sieht, dass jemand eine PM geliked hat, die nicht Teil davon ist. Dies geschah bei mir, als ein Benutzer mir gegenüber etwas toxisch wurde. Da wir einen schlechten Mod hatten, der ihn wegen Website-Richtlinien gaslightete. Dass ich die Richtlinien des Kunden befolgte. Dieser Mod war nicht glücklich, dass ich seine Überreaktionen durch Schweigen/Suspendierung unangemessen rückgängig machen würde. Also hat er verschiedene Mitglieder gaslightet, um Mitglieder dazu zu bringen, mich zu verbannen und sich bei seinen Vorgesetzten über mich zu beschweren.

Ich hatte Glück, dass der Beitrag, den ich versehentlich geliked und rückgängig gemacht hatte, vom Benutzer verstanden wurde, aber zunächst ziemlich schockiert war, dass eine PM nicht wirklich privat war, wie erwartet. Andernfalls hätte es als Vertrauensbruch in der gesamten Community explodieren können.

Ende-zu-Ende-Verschlüsselung ist eine ziemlich komplexe Lösung für dieses Problem und brachte eine Menge anderer UX-Probleme mit sich. Es wäre also viel besser, wenn wir dieses ‘versehentliche Mitarbeiterzugriffs’-Problem auf einfachere Weise lösen könnten.

Wir haben diese Website-Einstellung, die wir schon seit einiger Zeit entwickeln. Ich habe sie gerade sichtbar gemacht, damit sie in der Admin-Oberfläche verfügbar ist:

Dies unterdrückt Themen und PMs in der Benutzeroberfläche für Administratoren, es sei denn, sie sind Teilnehmer. Bitte beachten Sie jedoch: Es ist keine Sicherheitsfunktion. Administratoren können immer noch auf alles zugreifen. Es ist nur eine zusätzliche Hürde, um die von Ihnen beschriebenen ‘versehentlichen’ Fälle zu mildern.

An welchen Stellen werden PMs unterdrückt?
Ich habe gerade die Einstellung aktiviert und eine Kategorie erstellt, die ich auf eine Gruppe beschränkt habe, der ich nicht angehöre. Das hat wie beschrieben funktioniert. Ich sehe diese Kategorie nicht in der Kategorienliste.
Ich habe auch festgestellt, dass mich das Klicken auf einen Link zu einer PM auf die Seite “Diese Seite ist privat” führt. Aber ich kann immer noch Teile von PMs an anderen Stellen lesen. Ich habe die Funktion also falsch verstanden.
Zum Beispiel kann ich den Anfang der Nachricht lesen, wenn ich prüfe, welche Beiträge ein Benutzer mochte oder auf welche er reagiert hat, was ich oft tue (außer wenn ich ein Administrator bin).

image1106×280 17.2 KB

image1099×275 17 KB

Dasselbe passiert bei den Lesezeichen-Aktivitäten.

image1091×460 25.4 KB

Und wenn ich die gelöschten Beiträge überprüfe.

image445×229 7.46 KB

image1095×270 14.3 KB

Ich kann auch immer noch die Titel der Nachrichten in der Inbox des Benutzers und den Inboxes von Gruppen sehen, denen ich nicht angehöre.

Dies ist ein sehr positiver Schritt. Wenn es jedoch nicht so eingerichtet ist, wie ich es mir vorstelle. Machen Sie diese Einstellung erfordern, dass man sich auf dem Server und der Kommandozeile anmelden muss.

Ich schätze die Komplexität der Ende-zu-Ende-Verschlüsselung und vermute, dass nach den jüngsten Problemen des Telegram-Gründers, der in Frankreich verhaftet wurde, die Ende-zu-Ende-Verschlüsselung nicht mehr so sicher sein wird wie früher.

Ich verstehe auch, dass einige Anwendungsfälle wirklich Direktnachrichten (persönliche Nachrichten können leicht mit privaten verwechselt werden) überwachen müssen.

Z.B.
Schulen, Unternehmen, die es als Plattform für Mitarbeiterressourcen nutzen, z. B. für unternehmensspezifische Zwecke. usw.

Daher als Vorschlag. Eine Kommandozeileneinstellung, um den Admin-weiten Zugriff auf PMs/Gruppennachrichten usw. zu ermöglichen.

Mit Optionen

• Vollständige Aktivierung, solange sie eingeschaltet ist
• Aktivierung für den Zieladministrator. Kein anderer Administrator hat die Möglichkeit. Gut, wenn einige Administratoren für die Verwaltung von Themes & Theme Components zuständig sind.
• Zeitlimitoption Stunde=x, danach wird x in den vorherigen Zustand (ausgeschaltet) zurückversetzt.
• Vielleicht eine Option, um einen bestimmten Benutzer oder eine Gruppe für die Untersuchung eines nicht gemeldeten vermuteten Missbrauchs oder einer Anfrage von Strafverfolgungsbehörden mit einer entsprechenden gerichtlichen Anordnung zu identifizieren?

Ja, das sind beides Orte, an denen diese Einstellung den Inhalt unterdrückt

In der Tat ist diese Website-Einstellung nur ein kleiner zusätzlicher Reibungspunkt, um versehentlichen Zugriff an den häufigsten Stellen zu verhindern. Sie deckt nicht alle Teile der Benutzeroberfläche ab und gilt nicht als Sicherheitsmerkmal.

Admins, die vollen Zugriff auf alle Inhalte haben, sind tief im Quellcode von Discourse verankert. Das zu ändern, wird nicht trivial sein.

In seiner jetzigen Form ist es keine Sicherheitsfunktion, daher würde eine Beschränkung auf die Konsole auch keinen Unterschied für die Sicherheit machen.

Ich verstehe, dass Sie beide nach einer umfassenderen Version dieser Funktion fragen, was eine völlig berechtigte Anfrage ist. Es könnte etwas sein, das wir in Zukunft tun werden, aber ich fürchte, wir haben keine Pläne, es kurzfristig zu priorisieren.

Die Aktivitätsseite des Benutzers ist für mich ein ziemlich häufiger Ort; ich benutze sie als Benutzer häufig. Und es ist einer der Orte, an denen es sehr schwer zu bemerken ist, dass man dort als Administrator auch PMs liest.

Vielleicht verspricht die Beschreibung der Einstellungen zu viel, da sie „in der Admin-Oberfläche“ und nicht „an einigen häufigen Stellen der Admin-Oberfläche“ sagt.

Unterdrückt Themen und PMs aus der Admin-Oberfläche, es sei denn, sie sind Teilnehmer. Dies ist keine Sicherheitsfunktion: Administratoren können bei Bedarf immer auf alle Inhalte der Website zugreifen.

Nun, hier müssen wir als Website-Mitarbeiter auch erkennen und schätzen, wie das Sprichwort sagt: „Rom wurde nicht an einem Tag erbaut“.

Es erfordert Zeit und Ressourcen. Dass Sie das fortschrittliche Update des Teams teilen und diese sehr positiven ersten Schritte vorstellen, ist fantastisch. Und während wir Feedback/Kritik geben. Es dient nur dazu, die wirklichen Bedürfnisse zu fördern, um dies schließlich vollständiger zu gestalten.

In @Canapin’s vor langer Zeit erstelltem Thema gab es ein klares Beispiel, wenn eine Community die Nutzung dieser Funktion/dieses Exploits entdeckt, kann dies eine Community wirklich beschädigen. In diesem Beispiel erwähnte ein Mitglied hier einen Konkurrenten, der dies genutzt hatte und entdeckt und entlarvt wurde, das Vertrauen der Community verlor, was dazu führte, dass eine beträchtliche Anzahl dieses Forum verließ und sich ihnen anschloss.

Nachdem ich über 7 Jahre mit Discourse zu tun hatte, habe ich beobachtet, wie das Team seine Position zu einer Vielzahl von Dingen überdacht hat, gegen deren Implementierung es sich strikt ausgesprochen hatte. Wie die Option für Benutzer, andere zu blockieren. Während dies ein Anfang ist. Es gibt immer noch viel benötigte Parität mit anderen Plattformen, die einen vollständigeren Block/Ignorieren von Benutzern bewiesen haben, der benötigt wird und nicht tatsächlich die gute Diskussion in einem Thema beeinträchtigt, in dem Benutzer den Block verwendet haben, der gegenseitig ist. Die aktuelle Form ähnelt eher einem persönlichen Schattenverbot. Der blockierte Benutzer kann immer noch auf einen Benutzer antworten, der ihn blockiert hat.

Das ist fair. Wie wäre es mit dieser Verbesserung der Beschreibung?

Unterdrücke private Themen und PMs in einigen Teilen der Benutzeroberfläche für Administratoren. Inhalte werden an einigen Stellen weiterhin sichtbar sein. Dies ist keine Sicherheitsfunktion: Administratoren können bei Bedarf immer auf alle Inhalte der Website zugreifen.

Haben Sie weitere Vorschläge für Änderungen?

Zugehörige Beiträge anzeigen:

Hallo Leute

Wir begrüßen diese Funktion sehr, da wir eine 100% pseudonyme Community betreiben und es den Nutzern nicht erlauben, Klarnamen oder Adressen usw. zu posten.

Eine Herausforderung, vor der wir stehen, ist die Ermöglichung eines sicheren Austauschs von Versandadressen für die Wettbewerbe in unserer Community. Zuvor nutzten wir die Ende-zu-Ende-Verschlüsselung, um sicherzustellen, dass Benutzer ihre Adresse per PM an den Sponsor senden können, ohne dass Administratoren oder Moderatoren Zugriff haben.

Für unseren speziellen Anwendungsfall würden wir uns Gruppen-basierte Berechtigungseinstellungen wünschen. Auf diese Weise können nur tatsächliche Teilnehmer eine PM senden, auf die Administratoren/Moderatoren keinen Zugriff haben.

Diese Theme component funktioniert gut, um “Nachrichten” auf die Benutzeradministrationsseite mit dem Label “Nachrichten anzeigen” zu verschieben, um die Absicht klarzustellen, was sie tut.