Funktioniert nicht, wenn man ausgeloggt ist:
https://meta.discourse.org/u?exclude_groups=admins&order=likes_received
Ausgeloggt:
Eingeloggt:
Ich bin darauf gestoßen, weil mir aufgefallen ist, dass ich, wenn ich von meinen eigenen Foren ausgeloggt bin, nicht mehr von den nach erhaltenen Likes sortierten Nutzern ausgeschlossen werde.
Ist das beabsichtigt, um Mitglieder der Admin-Gruppe auch dann anzuzeigen, wenn /u?exclude_groups=admins gesetzt ist?
Ich denke, das liegt daran, dass Mitglieder von Admin-Gruppen standardmäßig für nicht angemeldete Benutzer nicht verfügbar sind. Sie können das beispielsweise mit der Admin-Gruppe von Meta ausprobieren: https://meta.discourse.org/g/admins.
Sie können dies in den Gruppeneinstellungen konfigurieren, was Ihr Problem lösen sollte (ich habe es nicht getestet).
Wenn Sie das Benutzerverzeichnis nach einer Gruppe filtern könnten, von der Sie nichts wissen oder deren Mitglieder Sie nicht einsehen dürfen, würde dies Informationen preisgeben. Das ist für die Admin-Gruppe vielleicht nicht so relevant, aber stellen Sie sich vor, Sie könnten das Benutzerverzeichnis nach den versteckten Enterprise-Kundengruppen auf Meta filtern.
Bevor ich gepostet habe, habe ich https://meta.discourse.org/g/admins besucht, was für nicht eingeloggte Benutzer ausgeblendet ist. Deshalb habe ich das Thema eröffnet. /g/admins ist für nicht registrierte Benutzer ausgeblendet, aber sie können dennoch Mitglieder der Admin-Gruppe sehen, wenn sie /u?exclude_groups=admins aufrufen, was zumindest seltsam erscheint.
Jetzt bin ich verwirrt. Basierend auf dem Titel erwartete ich, dass sowohl /g/admins als auch /u?exclude_groups=admins für eingeloggte Benutzer funktionieren, während sie für ausgeloggte Benutzer nicht funktionieren.
Vielleicht sprechen wir über verschiedene Zustände von „versteckt“ auf der Gruppen-Seite:
Mit „versteckt“ meinte ich etwas wie privat – das Aufrufen von /g/admins führt ausgeloggte Benutzer zur Oops-Seite. Ich denke, du denkst vielleicht an die Tatsache, dass die meisten Benutzer die Standardgruppen auf der Gruppen-Seite nicht sehen (außer Moderatoren), weil zusätzlicher Code sie ausblendet. Aber obwohl die Gruppen auf der Gruppen-Seite nicht angezeigt werden, ist es für Benutzer, die auf einen Link klicken, möglich, die Seite der Gruppe anzusehen.
Das private Verstecken ist das, was die Gruppe geheim macht, und ist der Grund, warum ich denke, dass es sinnvoll ist, dass der Filter im Benutzerverzeichnis nicht funktioniert. Es würde Informationen preisgeben. Die Gruppe, die einfach nicht angezeigt wird, ist nicht geheim.
Sie schränken es also auf angemeldete Benutzer ein. Wenn Sie möchten, dass Besucher Zugriff auf die Gruppe haben, warum beschränken Sie dann die Sichtbarkeit und den Zugriff auf die Mitglieder, anstatt „alle
Abgemeldet, und URL = /u?exclude_groups=admins:
Entschuldigung, falls ich das falsch verstehe. Ich dachte, /u?exclude_groups=admins bedeutet, dass Administratoren nicht in der Liste enthalten sind? Nein.
Derzeit werden sie nur ausgeschlossen, wenn man angemeldet ist, aber wenn man abgemeldet ist, sind sie enthalten.
Es wäre schön, wenn /u?exclude_groups=admins sowohl für registrierte als auch für nicht registrierte Besucher funktionieren würde.
Kannst du genauer erklären, was du mir mit diesem Screenshot sagen möchtest?
Ich sehe, dass du den Zugriff auf die Gruppe auf angemeldete Benutzer beschränkst. Gleichzeitig beschränkst du auch den Zugriff auf die Mitglieder der Gruppe auf angemeldete Benutzer.
Anschließend zeigst du mir, dass ein nicht angemeldeter Benutzer nicht auf die Daten der Gruppenmitglieder zugreifen kann. Das ergibt für mich Sinn. Ich würde nur erwarten, dass dies funktioniert, wenn du in beiden Einstellungen „Jeder
Ich stimme dem zu, was @Moin hier gesagt hat. Wenn wir exclude_groups=admins funktionsfähig machen würden, könnte jemand die Mitglieder der Admin-Gruppe ableiten, obwohl sie keinen Zugriff darauf haben sollten.
Daher befürchte ich, dass dies beabsichtigt ist und sich wahrscheinlich nicht ändern wird. Wenn Sie möchten, dass die Mitglieder der Admin-Gruppe ermittelt werden können, müssen Sie sie für alle sichtbar machen.
Dieselbe Logik gilt jedoch auch für jeden, der sich einfach nur registriert. Wenn sich ein brandneuer Benutzer anmeldet und exclude_groups=admins verwendet, werden die Administratoren aus ihrer Liste ausgeblendet, sodass sie die Mitgliedschaft bereits durch den Vergleich von gefilterten und ungefilterten Listen ableiten können.
Die Hürde, um dies herauszufinden, besteht lediglich darin, ein kostenloses Konto zu erstellen, was jeder innerhalb von Sekunden tun kann. Was ist also hier der eigentliche Unterschied zwischen einem abgemeldeten Besucher und einem Account, der erst eine Minute alt ist?
Als Kontext: Mein eigentliches Ziel ist es, dass in der Seitenleiste-Plugin-Rangliste die Gruppe der Administratoren nicht in der Liste der „meisten erhaltenen Likes“ oder der Top-Beiträger enthalten ist.
Das hängt von der Site-Konfiguration ab – viele Sites erlauben keine offene Registrierung.
Wäre das Anpassen der Sichtbarkeit der Gruppe also eine gute Lösung? Oder gibt es dabei ein Problem?
Viele von ihnen tun das. Die meisten, die ich besuche
Ja, das stimmt definitiv. Aber wenn es um Sicherheitsfunktionen geht, müssen wir Dinge so gestalten, dass sie genau so funktionieren, wie sie beschrieben sind. Wenn jemand beschließt, die Gruppenmitgliedschaft zu verbergen, muss das zu 100 % zuverlässig funktionieren.
Warum änderst du nicht die Sichtbarkeit der Admin-Gruppe und ihrer Mitglieder auf „jeder“, um das zu erreichen? Dann wären die Daten für Besucher verfügbar und der Filter sollte funktionieren. Besonders wenn du sagst, dass sich jeder einloggen und /g/admins besuchen kann, sollte es keine Rolle spielen, ob dies auch ausgeloggte Nutzer können.
Die Sache ist die: Die Mitgliedschaft zu verbergen, ist hier ohnehin nicht wirklich zuverlässig. Auf vielen Foren, meinem eingeschlossen, sind die Admins einige der aktivsten Nutzer. Man kann das Verzeichnis also einfach nach Aktivität sortieren und findet meist sofort ein oder zwei Admins.
Die Gruppenmitgliedschaft der Admins lässt sich leicht aus der offengelegten Aktivität ableiten. Besonders, da https://meta.discourse.org/u standardmäßig bereits nach Aktivität sortiert:
Man könnte zwar auch alle Profile verstecken. Aber mein Punkt ist, dass der Sicherheitsvorteil, der beim aktuellen Ignorieren von /u?exclude_groups=admins behauptet wird, kaum oder gar nicht vorhanden ist, bestenfalls nur oberflächlich.
Das Registrieren bringt in diesem Fall also keine echte Sicherheit. Ob man ausgeloggt ist oder einfach ein Konto erstellt – man kann die Admins durch Sortieren herausfinden, da ihre Aktivitätslevel öffentlich bleiben, selbst wenn ich versuche, sie mit /u?exclude_groups=admins aus der Liste herauszuhalten.
Genau deshalb habe ich das ursprünglich gemeldet. Wenn das Verbergen von Admins eine absichtliche Sicherheitsfunktion wäre, würde man erwarten, dass sie priorisiert wird, um Nicht-Nutzer daran zu hindern, dies herauszufinden. Aber so, wie es ist, ist es genau umgekehrt: Ein ausgeloggter Nutzer kann es leichter herausfinden, indem er einfach die meisten Standard-/u-Seiten besucht.
Diese Umkehrung war es, die mich dazu brachte zu denken, dass es vielleicht nicht beabsichtigt war.
Edit:
Für mich geht es zurück zum Hauptproblem: Es geht gar nicht um Sicherheit. Das ist ein Punkt, den Sie angesprochen haben. Ich möchte lediglich, dass die Aktivität der Admins nicht in den Ranglisten für das Sidebar-Plugin und die /u-Seite erscheint.
Ich sehe deinen Punkt, aber es ist wichtig zu bedenken, dass das Gruppensicherheitssystem nicht spezifisch für die @admins-Gruppe ist. Dasselbe Sicherheitsmodell müsste auch für die @super-secret-lurkers-Gruppe funktionieren, falls ein Forum eine solche hätte 
Die Möglichkeit, „nicht in einer Gruppe“ zu prüfen, ist im Grunde dasselbe wie die Möglichkeit, „in einer Gruppe“ zu sehen.
Ja, das ergibt Sinn. Würde es für dich funktionieren, wenn die admins-Gruppe für „alle“ sichtbar gemacht wird?
Nein, das habe ich schon vor dem Öffnen ausprobiert. Ich dachte, Nicht-Mitglieder müssten die Gruppe sehen können, damit der Ausschluss funktioniert. 
Aber nein, /u?exclude_groups=admins wird für nicht registrierte Besucher komplett ignoriert.
Es geht nicht darum, die Benutzer zu verbergen, sondern die Information darüber, wer Mitglied einer Gruppe ist. Deshalb können Sie die Mitglieder einer versteckten Gruppe im Verzeichnis sehen, aber nicht die Seite der Gruppe selbst. Sie wissen, dass der Benutzer existiert, wissen aber nicht, ob er einer geheimen Gruppe angehört.
Zum Beispiel haben Sie eine Gruppe für Kunde-A, möchten aber nicht, dass andere Benutzer Ihres Forums wissen, dass diese Gruppe existiert. Dann schränken Sie die Sichtbarkeit der Gruppe ein, wobei die Mitglieder natürlich überall sonst sichtbar bleiben. Sie können sehen, dass sie Beiträge verfassen und im Benutzerverzeichnis aufgeführt sind. Aber Sie wissen nicht, dass sie in der Gruppe Kunde-A sind.
Genauso schränken Sie die Sichtbarkeit der Admin-Gruppe ein. Besucher dürfen nicht wissen, wer in der Gruppe ist. Ihnen ist jedoch erlaubt zu wissen, dass diese Benutzer das Forum nutzen.
Man kann bereits sehen, wer zu den Administratoren gehört, wenn man nicht angemeldet ist, @Moin. Nicht alle auf einmal.
Nicht angemeldet:
Aber es ging mir hier nicht um Geheimhaltung oder Sicherheit:
Nein, ich habe nur die Einstellung „Wer kann die Mitglieder dieser Gruppe sehen?
