Не показывать темы и личные сообщения администраторам, если они не являются участниками

Продолжая обсуждение с: Discourse Encrypt (deprecated) - #236

Очень жаль это слышать. Думаю, многие не осведомлены об этой, так сказать, лазейке в системе личных сообщений.

Я использовал #theme-component, который перемещает или изменяет это. Как мне кажется, многие не знают, насколько легко/заманчиво использовать это для просмотра личных сообщений, которые предназначены только для персонала (администраторы, если только не разрешено для полных модераторов).

Возможно, стоит добавить настройку сайта, чтобы отключить/скрыть подсказку или опцию «Сообщения/Предупреждение» для администраторов, таких как я, которые предпочитают иметь дополнительный уровень защиты перед просмотром личных сообщений, на которые они не приглашены.

В качестве дополнительного штриха можно скрыть кнопку «Нравится» при просмотре, так как очень легко случайно нажать на неё, не осознавая этого, особенно если необходимо просмотреть дерево/диалог личного сообщения. Когда участник видит, что кто-то поставил «лайк» личному сообщению, в котором он не участвует, это может вызвать недоумение. Со мной такое произошло, когда один пользователь стал довольно токсичным по отношению ко мне. Мы имели дело с плохим модератором, который газлайтил его относительно политики сайта. Я следовал указаниям клиента. Этот модератор был недоволен тем, что я отменял его чрезмерные реакции, используя неуместные функции «замолчать» или «приостановить». Поэтому он начал газлайтить других участников, заставляя их требовать от меня блокировки пользователей и жаловаться на меня его начальству.

Мне повезло: пост, который я случайно лайкнул, а затем отменил, был понятен пользователю, хотя изначально он был шокирован тем, что личное сообщение не является таким приватным, как ожидалось. В противном случае это могло бы перерасти в полномасштабный кризис доверия во всём сообществе.

Сквозное шифрование — это довольно сложное решение для этой проблемы, которое привело к множеству других проблем с пользовательским опытом. Поэтому было бы гораздо лучше, если бы мы могли решить вопрос «случайного доступа администраторов» более простым способом.

У нас есть такая настройка сайта, которую мы разрабатываем уже некоторое время. Я просто скрыл её, чтобы она стала доступна в административном интерфейсе:

Это позволит скрыть темы и личные сообщения из интерфейса для администраторов, если они не являются участниками. Однако обратите внимание: это не функция безопасности. Администраторы всё ещё могут получить доступ к любому контенту. Это лишь дополнительный барьер для предотвращения «случайных» случаев, о которых вы упоминали.

Где именно скрываются личные сообщения?
Я только что активировал настройку и создал категорию, доступную только группе, в которую я не вхожу. Это сработало, как описано: я не вижу эту категорию в списке категорий.
Также заметил, что при клике на ссылку ЛС меня перекидывает на страницу «Эта страница закрыта». Однако я всё ещё могу читать части ЛС в других местах. Похоже, я неправильно понял эту функцию.
Например, я могу видеть начало сообщения, когда проверяю, какие посты лайкнул или на которые отреагировал пользователь (что я часто делаю, за исключением случаев, когда я администратор).

image1106×280 17.2 KB

image1099×275 17 KB

То же самое происходит в активности закладок.

image1091×460 25.4 KB

И когда я проверяю удалённые посты.

image445×229 7.46 KB

image1095×270 14.3 KB

Я также всё ещё вижу заголовки сообщений во входящих пользователя и в входящих групп, в которые я не вхожу.

Это довольно позитивный шаг. Однако, если я могу предложить: если настройка не задана таким образом, сделайте её доступной только после входа на сервер и использования командной строки.

Я понимаю сложность сквозного шифрования и подозреваю, что после недавних проблем с основателем Telegram, который был арестован во Франции, сквозное шифрование может быть не таким безопасным, как раньше.

Также я понимаю, что в некоторых частных случаях действительно необходимо отслеживать личные сообщения (личные сообщения часто путают с приватными).

Например:
Школы, компании, использующие платформу как ресурс для сотрудников, скажем, для корпоративных целей и т. д.

Поэтому предлагаю: настройка командной строки для включения широкого доступа администраторов к личным сообщениям (групповым сообщениям и т. д.) с следующими опциями:

• Полное включение на постоянной основе, пока опция активна.
• Включение для конкретного администратора. Ни у кого из других администраторов нет такой возможности. Это хорошо, если некоторые администраторы отвечают только за управление темами и компонентами тем.
• Опция ограничения по времени: час=x, после x настройка возвращается в предыдущее состояние (выключено).
• Возможно, опция для выбора конкретного пользователя или группы для расследования неподтверждённого предполагаемого злоупотребления или по запросу правоохранительных органов при наличии соответствующего судебного решения?

Да, именно в этих местах эта настройка скрывает контент

Действительно, эта настройка сайта служит лишь дополнительным барьером, чтобы предотвратить случайный доступ в наиболее распространённых местах. Она не охватывает все части интерфейса и не считается функцией безопасности.

Полный доступ администраторов ко всему контенту глубоко встроен в исходный код Discourse. Изменение этого не будет тривиальной задачей.

В своём текущем виде эта настройка не является функцией безопасности, поэтому ограничение её доступа только через консоль не изменит уровень безопасности ни в одну из сторон.

Я понимаю, что вы оба просите более полнофункциональную версию этой функции, что является совершенно обоснованным запросом. Возможно, мы реализуем это в будущем, но, боюсь, в ближайшей перспективе у нас нет планов приоритезировать эту задачу.

Страница активности пользователя — довольно обычное место для меня; я часто пользуюсь ею как пользователь. И это одно из тех мест, где очень трудно заметить, что вы также читаете личные сообщения там как администратор.

Возможно, описание настроек обещает слишком много, поскольку в нём сказано «в интерфейсе администратора», а не «в некоторых распространённых местах интерфейса администратора».

Скрывать темы и личные сообщения из интерфейса администратора, если пользователи не являются их участниками. Это не функция безопасности: администраторы всегда могут получить доступ ко всему контенту на сайте при необходимости.

Что ж, здесь нам, как сотрудникам сайта, тоже нужно признать и оценить: как гласит пословица, «Рим был построен не за один день».

Это требует времени и ресурсов. То, что вы делитесь постепенными обновлениями команды, представляющими эти очень позитивные первые шаги, — это замечательно. И хотя мы предоставляем обратную связь и критику, это делается исключительно для того, чтобы способствовать удовлетворению реальных потребностей и в конечном итоге сделать систему более полной.

В теме @Canapin, созданной давно, был наглядный пример того, как обнаружение сообществом использования этой функции или уязвимости может действительно нанести ущерб сообществу. В том примере один из участников упомянул конкурента, который использовал это, был разоблачён и потерял доверие сообщества, что привело к тому, что значительное число людей покинуло тот форум и присоединилось к их.

Будучи вовлечённым в Discourse более 7 лет, я наблюдал, как команда пересматривает свою позицию по многим вопросам, с которыми изначально категорически не соглашалась. Например, возможность для пользователей блокировать других. Хотя это уже начало, всё ещё необходима паритетность с другими платформами, где доказана необходимость более полноценной функции блокировки/игнорирования пользователей, которая не мешает ведению конструктивных обсуждений в темах, где участники взаимно заблокировали друг друга. Текущая реализация больше напоминает персональную теневую блокировку: заблокированный пользователь всё ещё может отвечать пользователю, который его заблокировал.

Это справедливо. Как насчёт такого варианта улучшения описания?

Скрывать приватные темы и личные сообщения в некоторых разделах интерфейса для администраторов. Содержимое всё ещё будет видно в некоторых местах. Это не функция безопасности: администраторы всегда могут получить доступ ко всему содержимому сайта.

Есть ли у вас другие предложения по улучшению?

Показ связанных тем:

Привет, ребята!

Мы очень рады этой функции, так как у нас полностью псевдонимное сообщество, и мы не разрешаем пользователям публиковать свои настоящие имена, адреса и т. д.

Одна из наших задач — обеспечить безопасный способ обмена адресами доставки для конкурсов в нашем сообществе. Раньше мы использовали сквозное шифрование (E2E), чтобы пользователи могли отправлять свой адрес спонсору через личные сообщения, и администраторы или модераторы не имели к нему доступа.

Для нашего конкретного случая нам бы очень хотелось увидеть настройки прав доступа на основе групп. Таким образом, только реальные участники смогут отправлять личные сообщения, к которым у администраторов/модераторов не будет доступа.

Этот #theme-component хорошо работает для перемещения «Сообщений» на страницу администрирования пользователя с меткой «Показать сообщения», чтобы прояснить назначение функции.