Se ricordo bene, la funzionalità di accessibilità PM è disponibile solo per gli amministratori. I moderatori non possono aprire i messaggi di altri utenti. Quindi, la risposta semplice è che si concede l’accesso amministrativo solo a coloro che gestiscono specificamente l’istanza Discourse. Da un punto di vista tecnico, coloro che gestiscono la tua istanza potrebbero accedere ai PM direttamente dal database senza generare voci di registro. In qualità di amministratore del sito e del server su cui si trova, l’unico modo per impedire in definitiva agli amministratori di ottenere tale livello di accesso è crittografare i contenuti con una chiave che non possiedono.
Per il livello di sicurezza che stai cercando, ti serve essenzialmente questo:
Non l’ho ancora usato (ancora), ma credo che generi e memorizzi le chiavi lato client in un modo tale che non sarebbero accessibili tramite la funzionalità di impersonificazione. La chiave è ancora memorizzata localmente e l’impersonificazione non dovrebbe fornire l’accesso ad essa (per quanto ne so). Questo è davvero l’unico modo per proteggere i dati nel database stesso.