除非管理员是参与者，否则不要向他们显示主题和私信

继续以下对话：Discourse Encrypt (deprecated) - #236

非常遗憾听到这个消息。我想很多人都不知道私信系统存在这个“漏洞”。

我使用过一个 Theme component 来移动或修改它。我认为很多人没有意识到，查看私信（仅限管理员，除非为所有版主启用）是多么容易/诱人。

也许可以添加一个站点设置，来关闭/隐藏这个消息/警告提示/选项，以便像我这样的管理员在查看未受邀加入的私信之前，可以增加一个额外的确认步骤。

作为额外的补充，如果查看私信时，可以隐藏点赞按钮。因为在查看私信树/对话时，很容易不小心点到它。当一个成员看到有人点赞了不属于对话的私信时，就会引起误会。我曾经就遇到过这种情况，当时一个用户对我有点不友好。因为我们有一个版主对他进行了“煤气灯操纵”，告诉他关于我正在遵守的网站政策。那个版主不高兴我通过沉默/暂停来不恰当地纠正他的过度反应。所以他操纵不同的成员，让他们要求我封禁用户，并向他的上级抱怨我。

我很幸运，我意外点赞并撤销了用户的那条消息，用户很理解，但一开始确实很震惊，因为私信并没有像预期的那样真正私密。否则，这可能会在整个社区范围内爆发信任危机。

端到端加密是解决该问题的相当复杂的解决方案，并带来了大量其他用户体验问题。因此，如果我们能以更简单的方式解决“意外的管理员访问”问题，那就更好了。

我们有这个站点设置，我们已经开发了一段时间了。我刚刚取消了隐藏，它将在管理员界面中可用：

这将从管理员的界面中隐藏主题和私人消息，除非他们是参与者。但请注意：它不是安全功能。管理员仍然可以访问任何内容。这只是为了增加一些摩擦，以缓解您所描述的“意外”情况。

在哪些地方会隐藏私信？
我刚刚启用了该设置，并创建了一个我未加入的群组限制的类别。这如预期一样工作。我在类别列表中看不到该类别。
我还注意到，点击私信链接会带我到“此页面是私密的”页面。但我仍然可以在其他地方阅读私信的部分内容。所以我想我误解了这个功能。
例如，当检查用户喜欢或回复了哪些帖子时（我经常这样做，除非我是管理员），我可以看到消息的开头。

image1106×280 17.2 KB

image1099×275 17 KB

在书签活动中也会发生同样的情况。

image1091×460 25.4 KB

当我检查已删除的帖子时也是如此。

image445×229 7.46 KB

image1095×270 14.3 KB

我仍然可以看到用户收件箱以及我未加入的群组收件箱中的消息标题。

这是一个非常积极的举措。但是，如果它没有这样设置的话，请允许我提出建议。请将此设置设为需要登录服务器和命令行。

我理解端到端加密的复杂性，并怀疑在最近的事件之后，Telegram创始人因其在法国被捕。端到端加密将不再像以前那样安全。

我也理解一些特定情况确实需要监控私信（个人消息很容易与私密消息混淆）。

例如：
学校、公司将其用作员工资源平台，例如公司特定的。等等。

因此，作为一项建议。提供一个命令行设置，以启用管理员对私信/群组消息等的广泛访问。

附带选项：

• 启用时永久完全启用
• 启用特定管理员。其他管理员无权访问。如果某些管理员负责主题和主题组件管理，则此选项很有用。
• 时间限制选项 hour=x，x小时后恢复到之前的关闭状态。
• 也许有一个选项可以针对特定用户或群组，用于调查未报告的可疑滥用行为或执法部门根据必要的法院命令提出的请求？

是的，这些都是此设置隐藏内容的两个地方

确实，此站点设置只是增加了一点额外的阻碍，以防止在最常见的地方意外访问。它并不涵盖 UI 的所有部分，也不被视为安全功能。

管理员拥有对所有内容的完全访问权限已深深植根于 Discourse 的源代码中。更改它并非易事。

以其当前形式，它不是一项安全功能，因此将其限制在控制台无论如何都不会对安全性产生影响。

我意识到你们都在要求一个更成熟的版本的功能，这是一个完全合理的要求。这可能是我们将来会做的事情，但我恐怕我们目前没有计划优先处理它。

用户活动页面对我来说是一个相当常见的地方；我经常作为用户使用它。而且，它也是一个很难注意到你作为管理员在那里阅读私信的地方。

也许设置描述承诺太多了，因为它说的是“在管理员界面中”，而不是“在管理员界面的某些常见位置”。

除非管理员是参与者，否则会阻止管理员查看主题和私信。这不是一个安全功能：管理员始终可以根据需要访问站点上的所有内容。

正如那句格言所说，“罗马不是一天建成的”，我们网站工作人员也需要认识到并欣赏这一点。

这需要时间和资源。您分享团队的进展更新，介绍这些非常积极的第一步，这太棒了。虽然我们提供反馈/批评。这只是为了帮助促进最终更完善的真正需求。

在 @Canapin 很久以前创建的主题中，有一个清晰的例子，如果社区发现使用此功能/漏洞可能会严重损害社区。在该示例中，一位会员提到一位竞争对手使用了这个功能，结果被发现并曝光，失去了社区的信任，导致相当一部分人离开了该论坛并加入了他们的社区。

我在 Discourse 工作了 7 年多，我观察到团队重新考虑了他们最初坚决反对实施的各种事情。比如用户屏蔽他人的选项。虽然这是一个开始。但与其他平台相比，仍然需要更多的对等性，这些平台已经证明了更完整的屏蔽/忽略用户功能是需要的，并且不会干扰用户在已使用屏蔽但相互屏蔽的用户的话题中进行良好讨论。目前的模式更像是个人影子禁令。被屏蔽的用户仍然可以回复屏蔽他们的用户。

这很合理。作为对描述的改进，您觉得这样如何？

在界面的某些部分隐藏管理员的私有主题和私信。内容仍将在某些地方可见。这不是一个安全功能：管理员始终可以访问网站上的所有内容。

您还有其他建议的调整吗？

显示相关帖子：

各位朋友：

我们非常欢迎此功能，因为我们运营着一个100%匿名的社区，不允许用户发布任何真实姓名或地址等信息。

我们面临的一项挑战是，为我们社区内的竞赛启用一种安全的方式来交换送货地址。以前，我们使用端到端加密来确保用户可以通过私信将地址发送给赞助商，而管理员或版主无法访问。

对于我们特定的用例，我们希望能看到基于组的权限设置。这样，只有实际参与者可以发送私信，而管理员/版主无法访问。

这个 Theme component 可以很好地将“Messages”移动到用户管理页面，并使用“Show Messages”标签来明确其功能。