Sinto muito por ouvir isso. Imagino que muitos não estejam cientes dessa “brecha”, por assim dizer, no sistema de mensagens privadas.
Eu usei o Theme component que move ou altera isso. Acho que muitos não estão cientes de quão fácil/tentador é usá-lo para visualizar mensagens privadas que apenas a equipe (apenas administradores, a menos que habilitado para moderadores) pode ver.
Talvez uma ideia seja simplesmente adicionar uma configuração de site para desativar/ocultar o prompt/opção de mensagem/aviso para administradores como eu, que prefeririam uma camada extra antes de prosseguir com a visualização de mensagens privadas nas quais não foram convidados.
Como um toque adicional, oculte o botão de curtir se estiver visualizando, pois é muito fácil acioná-lo acidentalmente sem saber, pois pode ser necessário visualizar uma árvore/conversa de mensagem privada. Quando um membro vê que alguém curtiu uma mensagem privada da qual não faz parte. Isso aconteceu comigo quando um usuário se tornou um pouco tóxico comigo. Tivemos um mau moderador fazendo “gaslighting” nele sobre as políticas do site. Que eu estava seguindo do cliente. Que o moderador não ficou feliz que eu fosse desfazer suas reações exageradas usando silêncio/suspensão inapropriadamente. Então ele estava fazendo “gaslighting” em diferentes membros para que os membros fizessem exigências para que eu banisse usuários e reclamasse de mim para seus superiores.
Tive sorte que a postagem que eu havia curtido acidentalmente e desfeito foi compreendida pelo usuário, mas ele ficou bastante chocado inicialmente que uma mensagem privada não era realmente privada como esperado. Caso contrário, poderia ter explodido como uma quebra de confiança em toda a comunidade.
Criptografia de ponta a ponta é uma solução bastante complexa para esse problema e trouxe uma tonelada de outros problemas de UX. Portanto, seria muito melhor se pudéssemos resolver essa preocupação de ‘acesso acidental pela equipe’ de uma maneira mais simples.
Temos essa configuração de site que estamos desenvolvendo há algum tempo. Acabei de desocultá-la para que esteja disponível na interface do administrador:
Isso suprimirá tópicos e mensagens privadas da interface para administradores, a menos que eles sejam participantes. Observe, no entanto: não é um recurso de segurança. Administradores ainda podem acessar qualquer coisa. É apenas um atrito extra para mitigar os casos ‘acidentais’ que você descreveu.
Em que locais as MPs são suprimidas?
Acabei de ativar a configuração e criei uma categoria que limitei a um grupo do qual não sou membro. Isso funcionou como descrito. Não vejo essa categoria na lista de categorias.
Também notei que clicar em um link para uma MP me leva à página “esta página é privada”. Mas ainda consigo ler partes de MPs em outros locais. Então, acho que entendi mal o recurso.
Por exemplo, consigo ler o início da mensagem ao verificar quais posts um usuário curtiu ou reagiu, o que faço com frequência (exceto quando sou um administrador).
Este é um movimento bastante positivo. No entanto, se me permite, se não estiver configurado dessa forma. Torne esta configuração obrigatória para fazer login no servidor e na linha de comando.
Aprecio a complexidade da criptografia de ponta a ponta e suspeito que, após os problemas recentes que o fundador do Telegram teve por ter sido preso na França. Que o fim a fim não será tão seguro quanto já foi.
Também entendo que alguns casos de uso realmente precisam ter Mensagens Diretas (mensagens pessoais podem ser facilmente confundidas com privadas) podem precisar ser monitoradas.
Por exemplo:
Escolas, empresas usando-o como plataforma para recursos de funcionários, digamos, específicos da empresa. Etc.
Portanto, como sugestão. Uma configuração de linha de comando para habilitar o acesso amplo de administradores a MPs/mensagens de grupo, etc.
Com opções:
Habilitação total permanente enquanto estiver ativado
Habilitação para o administrador alvo. Nenhum outro administrador tem acesso. Bom se alguns administradores estiverem lá para gerenciamento de temas e componentes de temas.
Opção de limite de tempo hora=x após x reverte para o estado anterior de desativado.
Talvez uma opção para direcionar um usuário ou grupo específico para investigar um abuso suspeito não relatado ou solicitação de aplicação da lei com uma ordem judicial necessária, talvez?
Sim, esses são os dois lugares onde essa configuração suprime o conteúdo
De fato, essa configuração do site é apenas um pouco de atrito extra para evitar acesso acidental nos lugares mais comuns. Ela não cobre todas as partes da UI e não é considerada um recurso de segurança.
Administradores tendo acesso total a todo o conteúdo está profundamente enraizado no código-fonte do Discourse. Mudar isso não será trivial.
Em sua forma atual, não é um recurso de segurança, então restringi-lo ao console não faria diferença para a segurança de qualquer maneira.
Percebo que ambos estão pedindo uma versão mais completa deste recurso, o que é um pedido completamente válido. Pode ser algo que façamos no futuro, mas receio que não tenhamos planos de priorizá-lo no curto prazo.
A página de atividade do usuário é um local bastante comum para mim; eu a uso frequentemente como usuário. E é um dos lugares onde é muito difícil notar que você também lê mensagens privadas lá como administrador.
Talvez a descrição da configuração esteja prometendo demais, pois diz “na interface do administrador” em vez de “em alguns locais comuns da interface do administrador”.
Suprimir tópicos e mensagens privadas da interface do administrador, a menos que eles sejam participantes. Este não é um recurso de segurança: os administradores sempre podem acessar todo o conteúdo do site, se necessário.
Bem, é aqui que nós, como equipe do site, também precisamos reconhecer e apreciar o ditado “Roma não foi construída em um dia”.
Requer tempo e recursos. É fantástico que você compartilhe a atualização progressiva da equipe, introduzindo estes primeiros passos muito positivos. E enquanto fornecemos feedback/críticas, é apenas para ajudar a promover as necessidades reais de ter isto eventualmente mais completo.
No tópico de @Canapin, que foi feito há muito tempo, houve um exemplo claro de que se uma comunidade descobrir o uso deste recurso/exploit, isso pode realmente prejudicar uma comunidade. Nesse exemplo, um membro aqui mencionou um concorrente que o utilizou e foi descoberto e exposto, perdendo a confiança da comunidade, resultando em um número justo de pessoas deixando aquele fórum e juntando-se ao deles.
Tendo estado envolvido com o Discourse por mais de 7 anos, observei a equipe repensar sua posição sobre uma variedade de coisas às quais eles eram totalmente contra a implementação. Como a opção para os usuários bloquearem outros. Embora seja um começo, ainda há muita paridade necessária com outras plataformas que provaram que um bloqueio/ignorar usuário mais completo é necessário e não interfere realmente em ter uma boa discussão em um tópico onde os usuários usaram o bloqueio que é mútuo. A forma atual é mais como um banimento de sombra pessoal. O usuário bloqueado ainda pode responder a um usuário que o bloqueou.
Isso é justo. Que tal isso como uma melhoria para a descrição?
Suprimir tópicos privados e PMs em algumas partes da interface para administradores. O conteúdo ainda será visível em alguns locais. Este não é um recurso de segurança: os administradores sempre podem acessar todo o conteúdo do site.
nós realmente damos as boas-vindas a este recurso, pois administramos uma comunidade 100% pseudônima e não permitimos que os usuários postem nomes reais ou endereços, etc.
Um desafio que temos é habilitar uma maneira segura de trocar endereços de envio para os concursos em nossa comunidade. Antes, usávamos a criptografia E2E para garantir que os usuários pudessem enviar seus endereços via PM para o patrocinador sem que administradores ou moderadores tivessem acesso.
Para o nosso caso de uso específico, gostaríamos de ver configurações de permissão baseadas em grupos. Dessa forma, apenas os participantes reais podem enviar uma PM à qual administradores/moderadores não têm acesso.
Este Theme component funciona bem para mover “Mensagens” para a página de administração do usuário com o Rótulo “Mostrar Mensagens” para deixar claro o que ele faz.
seja simplesmente adicionar uma configuração de site para desativar/ocultar o prompt/opção de mensagem/aviso para administradores como eu, que prefeririam uma camada extra antes de prosseguir com a visualização de mensagens privadas nas quais não foram convidados.
