Non funziona quando si è disconnessi:
https://meta.discourse.org/u?exclude_groups=admins&order=likes_received
Disconnessi:
Connessi:
Ho scoperto questo problema notando che, quando sono disconnesso dai miei stessi forum, non vengo più escluso dagli utenti ordinati per like ricevuti.
È intenzionale esporre i membri del gruppo degli amministratori anche quando è impostato /u?exclude_groups=admins?
Penso che ciò possa accadere perché i membri dei gruppi di amministrazione non sono disponibili di default per gli utenti non autenticati. Puoi provare, ad esempio, con il gruppo di amministrazione di Meta https://meta.discourse.org/g/admins.
Puoi configurarlo nelle impostazioni del gruppo, il che dovrebbe risolvere il tuo problema (non l’ho ancora testato).
Se fosse possibile filtrare l’elenco degli utenti per un gruppo di cui non si ha conoscenza o in cui non si è autorizzati a vedere i membri, ciò comporterebbe una fuga di informazioni. Questo potrebbe non essere molto rilevante per il gruppo di amministrazione, ma immaginate di poter filtrare l’elenco degli utenti per i gruppi nascosti dei clienti Enterprise su Meta.
Prima di pubblicare ho visitato https://meta.discourse.org/g/admins, che è nascosto agli utenti non registrati. È per questo che ho avviato l’argomento. /g/admins è nascosto per gli utenti non registrati, ma possono comunque vedere i membri del gruppo Amministratori visitando /u?exclude_groups=admins, il che sembra, almeno, strano.
Ora sono confuso. In base al titolo, mi aspettavo che /g/admins e /u?exclude_groups=admins funzionassero entrambi per gli utenti connessi, mentre non funzionano per gli utenti disconnessi.
Forse stiamo parlando di stati diversi di “nascosto” nella pagina dei gruppi:
Con “nascosto”, intendevo qualcosa di simile a privato: visitare /g/admins porta gli utenti disconnessi alla pagina “oops”. Penso che tu possa pensare al fatto che la maggior parte degli utenti non vede i gruppi predefiniti nella pagina dei gruppi (tranne i moderatori) perché un codice aggiuntivo li nasconde. Ma anche se i gruppi non sono mostrati nella pagina dei gruppi, è possibile accedere alla pagina del gruppo per gli utenti che cliccano su un link.
Il nascosto privato è ciò che rende il gruppo segreto ed è il motivo per cui penso che abbia senso che il filtro nella directory degli utenti non funzioni. Sarebbe una perdita di informazioni. Il gruppo che semplicemente non viene mostrato non è segreto.
Quindi hai limitato l’accesso agli utenti che hanno effettuato l’accesso. Se vuoi che i visitatori abbiano accesso al gruppo, perché limitare la visibilità e l’accesso solo ai membri invece di scegliere “Tutti”?
Disconnessi, e URL = /u?exclude_groups=admins:
Scusa se ho frainteso. Pensavo che /u?exclude_groups=admins significasse che gli amministratori non sono inclusi nell’elenco? No.
Attualmente vengono esclusi solo quando si è connessi, ma quando si è disconnessi sono inclusi.
Sarebbe utile se /u?exclude_groups=admins funzionasse sia per i visitatori registrati che per quelli non registrati.
Puoi spiegare meglio cosa vuoi dirmi con quello screenshot?
Vedo che hai limitato l’accesso al gruppo solo agli utenti registrati. Hai anche limitato l’accesso ai membri del gruppo solo agli utenti registrati.
Poi mi mostri che un utente non registrato non può accedere ai dati dei membri del gruppo. Per me ha senso. Mi aspetterei che funzioni solo se avessi scelto “tutti” in entrambe le impostazioni.
Sembra tu stia dicendo: “Voglio nascondere ai visitatori i dati su chi fa parte del gruppo degli amministratori”. Ma allo stesso tempo ti lamenti che i dati non sono disponibili per filtrare la directory degli utenti.
Non puoi escludere i membri di un gruppo quando non hai il permesso di sapere chi fa parte di esso.
Confermo quanto detto da @Moin qui. Se rendessimo funzionante exclude_groups=admins, qualcuno potrebbe dedurre i membri del gruppo degli amministratori, anche se non dovrebbero avere accesso.
Quindi temo che questo sia intenzionale e improbabile che cambi. Se vuoi che le persone possano capire i membri del gruppo degli amministratori, dovrai renderlo visibile a tutti.
La stessa logica si applica a chiunque si registri. Se un nuovo utente si iscrive e utilizza exclude_groups=admins, gli amministratori vengono nascosti dalla loro lista, così possono già dedurre l’appartenenza confrontando le liste filtrate e non filtrate.
La soglia per “capire come funziona” è semplicemente creare un account gratuito, cosa che chiunque può fare in pochi secondi. Qual è quindi la vera differenza tra un visitatore non autenticato e un account creato da un minuto?
Per contesto, ciò che cerco realmente di ottenere è che nel plugin della barra laterale, dove viene mostrato un ranking, non venga incluso il gruppo degli amministratori nella lista dei “più mi piace ricevuti” o dei principali contributori.
Dipende dalla configurazione del sito: molti siti non hanno la registrazione aperta.
Quindi regolare la visibilità del gruppo dovrebbe essere un buon workaround? O c’è un problema con questo approccio?
Un sacco lo fanno. La maggior parte di quelli che visito
Sì, è certamente vero. Ma quando si tratta di funzionalità di sicurezza, dobbiamo progettare le cose in modo che funzionino esattamente come descritto. Se qualcuno decide di nascondere l’iscrizione ai gruppi, ciò deve funzionare al 100% in modo affidabile.
Perché non modifichi la visibilità del gruppo degli amministratori e dei suoi membri impostandola su “tutti” per ottenere questo risultato? In tal modo, i dati sarebbero disponibili per i visitatori e il filtro dovrebbe funzionare. Soprattutto, dato che hai detto che chiunque può accedere e visitare /g/admins, non dovrebbe importare se anche gli utenti non collegati possano farlo.
Il fatto è che nascondere l’appartenenza ai gruppi non è davvero affidabile qui, in ogni caso. Su molti forum, incluso il mio, gli amministratori sono alcuni degli utenti più attivi. Quindi puoi semplicemente ordinare la directory per attività e di solito individuare uno o due amministratori subito.
L’appartenenza al gruppo amministratori si deduce facilmente dall’attività esposta. Soprattutto perché https://meta.discourse.org/u è già impostato di default per ordinare per attività:
Certo, potresti nascondere anche tutti i profili. Ma il mio punto è che il vantaggio in termini di sicurezza che si presume derivi dall’attuale ignoranza di /u?exclude_groups=admins sembra essere nullo o, nel migliore dei casi, superficiale.
Quindi registrarsi non aggiunge davvero sicurezza in questo caso. Che tu sia disconnesso o che crei semplicemente un account, puoi individuare gli amministratori ordinando la lista, perché i loro livelli di attività rimangono pubblici anche quando provo a tenerli fuori dalla lista con /u?exclude_groups=admins.
È proprio per questo che l’ho segnalato in primo luogo. Se nascondere gli amministratori fosse una funzionalità di sicurezza deliberata, ci si aspetterebbe che avesse la priorità di impedire agli utenti non registrati di scoprirlo. Ma così com’è, è il contrario: un utente disconnesso può capirlo più facilmente semplicemente visitando la pagina predefinita: /u.
Questa inversione è ciò che mi ha fatto pensare che forse non fosse intenzionale.
Modifica:
Per quanto mi riguarda, tornando alla questione principale, non si tratta nemmeno di sicurezza. Questo è un punto sollevato da voi. Vorrei semplicemente che l’attività degli amministratori non apparisse nelle classifiche per il plugin della barra laterale e per la pagina /u.
Capisco il tuo punto, ma è importante considerare che il sistema di sicurezza del gruppo non è specifico per il gruppo @admins. Lo stesso modello di sicurezza dovrebbe funzionare anche per il gruppo @super-secret-lurkers, se un forum ne avesse uno 
Essere in grado di determinare «non in un gruppo» è, in definitiva, lo stesso che essere in grado di vedere «in un gruppo».
Sì, ha senso. Funzionerebbe per te aggiornare il gruppo degli amministratori rendendolo visibile a «tutti»?
No, l’ho provato prima di aprire la discussione. Pensavo che forse i non membri dovessero poter vedere il gruppo affinché l’esclusione funzionasse. 
Ma no, /u?exclude_groups=admins viene completamente ignorato per i visitatori non registrati.
Non si tratta di nascondere gli utenti, ma di nascondere le informazioni su chi è membro di un gruppo. Ecco perché puoi vedere i membri di un gruppo nascosto nella directory, ma non puoi vedere la pagina del gruppo. Sai che l’utente esiste, ma non sai se appartiene a un gruppo segreto.
Ad esempio, hai un gruppo per il cliente-A, ma non vuoi che gli altri utenti del tuo forum sappiano che questo gruppo esiste. In tal caso, limiti la visibilità del gruppo, ma naturalmente i membri sono visibili ovunque. Puoi vederli mentre pubblicano e nella directory degli utenti. Ma non sai che fanno parte del gruppo cliente-A.
Allo stesso modo, limiti la visibilità del gruppo degli amministratori. Ai visitatori non è consentito sapere chi fa parte del gruppo. Tuttavia, è loro consentito sapere che questi utenti utilizzano il forum.
Puoi già vedere chi è tra gli amministratori @Moin quando non sei connesso. Non tutti insieme.
non connesso:
Ma questo non era il mio problema qui riguardo alla segretezza o alla sicurezza:
No, ho solo attivato l’opzione «Chi può vedere i membri di questo gruppo?».
Non voglio abilitare «Chi può vedere questo gruppo», poiché ciò permetterebbe l’accesso pubblico a /g/admins.
Tuttavia, posso fare una prova per verificare se viene rispettato /u?exclude_groups=admins.
torno subito.
