/u؟exclude_groups=admins لا يعمل عند تسجيل الخروج

لا يعمل عند تسجيل الخروج:

https://meta.discourse.org/u?exclude_groups=admins&order=likes_received

عند تسجيل الخروج:

image1962×1067 252 KB

عند تسجيل الدخول:

image1985×839 125 KB

لقد صادفت هذه المشكلة لأنني لاحظت أنه عند تسجيل الخروج من منتداي الخاص، لم أعد مستبعدًا من قائمة المستخدمين المرتبة حسب عدد الإعجابات المستلمة.

هل هذا مقصود لكشف أعضاء مجموعة المشرفين حتى عند تعيين /u?exclude_groups=admins؟

أعتقد أن هذا قد يحدث لأن أعضاء مجموعات الإدارة غير متاحين للمستخدمين غير المسجلين افتراضيًا. يمكنك تجربة ذلك، على سبيل المثال، مع مجموعة إدارة ميتا https://meta.discourse.org/g/admins.

يمكنك إعداد ذلك في إعدادات المجموعة، وهو ما قد يحل مشكلتك (لم أجرب ذلك بعد).

Screenshot_20260609_224259_Firefox1202×544 74.7 KB

لو أمكنك تصفية دليل المستخدمين بناءً على مجموعة لا تعرفها أو لا يُسمح لك برؤية أعضائها، فسيكون ذلك تسريبًا للمعلومات. قد لا يكون هذا الأمر ذا صلة بمجموعة الإدارة، لكن تخيل لو أمكنك تصفية دليل المستخدمين لمجموعات عملاء المؤسسات المخفية على ميتا.

قبل النشر، زرتُ الرابط https://meta.discourse.org/g/admins وهو مخفي عن المستخدمين غير المسجلين. وهذا هو السبب في أنني بدأت هذا الموضوع. /g/admins مخفي للمستخدمين غير المسجلين، لكنهم لا يزالون قادرين على رؤية أعضاء مجموعة المدراء عند زيارة /u?exclude_groups=admins، وهو ما يبدو، على الأقل، غريبًا.

الآن أنا مرتبك. بناءً على العنوان، توقعت أن يعمل كل من /g/admins و /u?exclude_groups=admins للمستخدمين المسجلين، بينما لا يعملان للمستخدمين غير المسجلين.

ربما نتحدث عن حالات مختلفة لـ “مخفي” في صفحة المجموعات:
بـ “مخفي”، كنت أقصد شيئًا مثل خاص - فزيارة /g/admins تقود المستخدمين غير المسجلين إلى صفحة “عذراً”. أعتقد أنك قد تفكر في حقيقة أن معظم المستخدمين لا يرون المجموعات الافتراضية في صفحة المجموعات (باستثناء المشرفين) لأن كودًا إضافيًا يقوم بإخفائها. ولكن على الرغم من عدم ظهور المجموعات في صفحة المجموعات، فإن الاطلاع على صفحة المجموعة ممكن للمستخدمين الذين ينقرون على رابط.

الإخفاء الخاص هو ما يجعل المجموعة سرية، وهو السبب الذي يجعلني أعتقد أنه من المنطقي أن لا يعمل الفلتر في دليل المستخدمين. فذلك قد يكشف معلومات. أما المجموعة التي تُظهر ببساطة عدم ظهورها، فهي ليست سرية.

إذن، أنت تقصرها على المستخدمين المسجلين في الدخول. إذا كنت تريد أن يتمتع الزوار بالوصول إلى المجموعة، فلماذا تقصر الرؤية والوصول على الأعضاء بدلاً من اختيار “الجميع”؟

image657×284 16.1 KB

بعد تسجيل الخروج، والعنوان = /u?exclude_groups=admins:

image1980×409 41.6 KB

آسف إذا كان فهمي خاطئًا. اعتقدت أن /u?exclude_groups=admins تعني أن المسؤولين لا يُدرَجون في القائمة؟ لا.

حاليًا، يتم استبعادهم فقط عند تسجيل الدخول، لكن عند تسجيل الخروج يتم إدراجهم.

سيكون من الجيد لو عمل /u?exclude_groups=admins لكل من الزوار المسجلين وغير المسجلين.

هل يمكنك التوضيح أكثر لما تريد قوله من خلال لقطة الشاشة هذه؟

أرى أنك قمت بتقييد الوصول إلى المجموعة للمستخدمين المسجلين الدخول. كما قمت أيضًا بتقييد الوصول إلى أعضاء المجموعة للمستخدمين المسجلين الدخول.

ثم تُظهر لي أن المستخدم غير المسجل لا يمكنه الوصول إلى بيانات أعضاء المجموعة. بالنسبة لي، هذا منطقي. كنت أتوقع أن يعمل ذلك فقط إذا اخترت “الجميع” في كلا الإعدادين.

يبدو أنك تقول: “أريد إخفاء بيانات من هم في مجموعة المدراء عن الزوار.” لكن في الوقت نفسه، تشكو من أن البيانات غير متاحة لتصفية دليل المستخدمين.

لا يمكنك استبعاد أعضاء مجموعة عندما لا يُسمح لك بمعرفة من هم في تلك المجموعة.

أكرر ما قاله @Moin هنا. إذا جعلنا exclude_groups=admins يعمل، فقد يتمكن شخص ما من استنتاج أعضاء مجموعة المسؤولين، حتى لو لم يكن من المفترض أن يكون لديهم حق الوصول.

لذلك، أخشى أن هذا مقصود ومن غير المرجح أن يتغير. إذا أردت أن يتمكن الناس من معرفة أعضاء مجموعة المسؤولين، فستحتاج إلى جعلها مرئية للجميع.

ينطبق نفس المنطق على أي شخص يسجل حسابًا جديدًا. إذا قام مستخدم جديد تمامًا بالتسجيل واستخدم exclude_groups=admins، فسيتم إخفاء المشرفين من قائمتهم، مما يسمح لهم باستنتاج العضوية من خلال المقارنة بين القوائم المفلترة وغير المفلترة.

الحاجز اللازم لـ “استنتاج الأمر” هو ببساطة إنشاء حساب مجاني، وهو ما يمكن لأي شخص فعله في ثوانٍ. إذن، ما الفرق الحقيقي بين زائر غير مسجل وحساب عمره دقيقة واحدة هنا؟

وللتوضيح، كل ما أحاول تحقيقه فعليًا هو أن يكون هناك تصنيف في ملحق الشريط الجانبي، ولا أريد ببساطة تضمين مجموعة المشرفين في قائمة “أكثر الإعجابات المُستلمة” أو قائمة المساهمين الرئيسيين.

يعتمد ذلك على إعدادات الموقع؛ فكثير من المواقع لا تتيح التسجيل المفتوح.

إذن، هل تعديل وضوح رؤية المجموعة يُعدّ حلاً عمليًا جيدًا؟ أم أن هناك مشكلة في ذلك؟

الكثير منها يفعل. معظم ما أزوره

نعم، هذا صحيح بالتأكيد. لكن عندما يتعلق الأمر بميزات الأمان، يجب أن نصمم الأشياء لتعمل بدقة كما هو موصوف. إذا قرر شخص ما إخفاء عضوية المجموعة، فيجب أن يعمل ذلك بنسبة 100% بشكل موثوق.

لماذا لا تقوم بتغيير رؤية مجموعة المشرفين وأعضائها إلى «الجميع» لتحقيق ذلك؟ عندها ستكون البيانات متاحة للزوار، ويجب أن يعمل التصفية. خاصة عندما تقول إن أي شخص يمكنه تسجيل الدخول وزيارة /g/admins، فلا ينبغي أن يهم إذا كان المستخدمون غير المسجلين دخولهم قادرين على ذلك أيضًا.

المشكلة هي أن إخفاء العضوية ليس موثوقًا به حقًا هنا على أي حال. في العديد من المنتديات، بما في ذلك منتداي، يُعد المسؤولون بعضًا من أكثر المستخدمين نشاطًا. لذا يمكنك ببساطة فرز الدليل حسب النشاط وعادةً ما تكتشف مسؤولًا أو اثنين على الفور.

يمكن استنتاج عضوية مجموعة المسؤولين بسهولة من النشاط الظاهر. خاصةً أن https://meta.discourse.org/u تُرتّب افتراضيًا حسب النشاط:

image1444×1391 334 KB

بالتأكيد، يمكنك إخفاء جميع الملفات الشخصية أيضًا. لكن نقطتي هي أن ميزة الأمان التي يُدَّعى وجودها في تجاهل /u?exclude_groups=admins حاليًا تبدو ضئيلة أو معدومة، أو سطحية في أحسن الأحوال.

لذا فإن التسجيل لا يضيف أمانًا حقيقيًا في هذه الحالة. سواء كنت مسجّلًا أو لم تسجّل، أو حتى أنشأت حسابًا، يمكنك تحديد المسؤولين عبر الفرز، لأن مستويات نشاطهم تظل علنية حتى عندما أحاول إبعادهم عن القائمة باستخدام /u?exclude_groups=admins.

هذا هو السبب الحقيقي الذي دفعني للإبلاغ عن الأمر في المقام الأول. إذا كان إخفاء المسؤولين ميزة أمنية مقصودة، لكان من المتوقع أن تُعطي الأولوية لمنع غير المستخدمين من اكتشافهم. لكن الواقع الحالي هو العكس تمامًا: يمكن لأي شخص غير مسجّل اكتشافهم بسهولة أكبر بمجرد زيارة الصفحة الافتراضية: /u.

هذا التقلب هو ما جعلني أعتقد أنه ربما لم يكن مقصودًا.

تعديل:
بالنسبة لي، والعودة إلى المسألة الرئيسية، الأمر لا يتعلق بالأمان حتى. هذه نقطة أثيرت من جانبكم. أنا أود فقط ألا يظهر نشاط المسؤولين في الترتيبات الخاصة بإضافة الشريط الجانبي وصفحة /u.

أرى وجهة نظرك، لكن من المهم مراعاة أن نظام أمان المجموعة ليس مخصصًا لمجموعة @admins فقط. فنموذج الأمان نفسه يجب أن يعمل لمجموعة @super-secret-lurkers أيضًا، لو كان هناك منتدى يحتوي على مثل هذه المجموعة

القدرة على تحديد ‘غير موجود في مجموعة’ هي في النهاية نفس القدرة على رؤية ‘موجود في مجموعة’.

نعم، هذا منطقي. هل يعمل تغيير مجموعة المدراء لتكون مرئية لـ ‘الجميع’ بالنسبة لك؟

لا، لقد جربت ذلك قبل فتح الموضوع. ظننتُ ربما أن غير الأعضاء يجب أن يكونوا قادرين على رؤية المجموعة لكي تعمل الاستثناء. لكن لا، /u?exclude_groups=admins يتم تجاهلها تمامًا للزوار غير المسجلين.

الأمر لا يتعلق بإخفاء المستخدمين، بل بإخفاء المعلومات حول من هو عضو في مجموعة. ولهذا السبب يمكنك رؤية أعضاء المجموعة المخفية في الدليل، لكن لا يمكنك رؤية صفحة المجموعة. أنت تعلم أن المستخدم موجود، لكنك لا تعلم ما إذا كان ينتمي إلى مجموعة سرية.

على سبيل المثال، لديك مجموعة مخصصة لـ “العميل-أ”، لكنك لا ترغب في أن يعرف مستخدمو المنتدى الآخرون وجود هذه المجموعة. في هذه الحالة، تقيد إمكانية رؤية المجموعة، لكن بالطبع يظل الأعضاء مرئيين في كل مكان آخر. يمكنك رؤيتهم وهم ينشرون وفي دليل المستخدمين. لكنك لا تعلم أنهم ينتمون إلى مجموعة “العميل-أ”.

وبنفس الطريقة، يمكنك تقييد إمكانية رؤية مجموعة المشرفين. لا يُسمح للزوار بمعرفة من هم الأعضاء في المجموعة، لكن يُسمح لهم بمعرفة أن هؤلاء المستخدمين يستخدمون المنتدى.

أوه، حسنًا! يبدو أن هذا قد يكون خطأً إذن.

للتأكد فقط: هل قمت بتعيين كل من رؤية المجموعة ورؤية أعضاء المجموعة على «الجميع»؟

SCR-20260609-tpeq670×448 25.2 KB

يمكنك بالفعل رؤية من هم المشرفون @Moin عند تسجيل الخروج. ليس الجميع في آن واحد.

غير مسجّل الدخول:

image144×125 11.4 KB

لكن لم يكن مشكلتي هنا تتعلق بالسرية أو الأمان:

لا، لقد قمت فقط بتبديل خيار «من يمكنه رؤية أعضاء هذه المجموعة؟».

لا أريد تفعيل خيار «من يمكنه رؤية هذه المجموعة» لأن ذلك يسمح بالوصول العام إلى /g/admins.

لكن يمكنني إجراء اختبار لمعرفة ما إذا كان سيتم احترام /u?exclude_groups=admins.

أعود قريبًا.