Wir haben ein Datenschutzproblem, bei dem Moderatoren auf Nachrichten zugreifen können, auf die sie keinen Zugriff haben sollten.
Soweit ich das beurteilen kann, spielen bei Discourse zwei Designziele eine Rolle:
- Moderatoren sind von Berechtigungsprüfungen nicht ausgenommen und können nur Nachrichten lesen, zu denen sie eingeladen wurden.
- Wenn Moderatoren ihre Befugnisse nutzen, wird jede von ihnen durchgeführte Aktion protokolliert und kann von jedem Mitarbeiter eingesehen werden.
Manchmal stehen diese Ziele im Konflikt, z. B. wenn ein Moderator den Beitrag eines anderen Benutzers in einer Nachricht mit diesem bearbeitet. In solchen Fällen priorisiert Discourse 
: Der bearbeitete Beitrag des Benutzers wird allen Mitarbeitern in den Mitarbeiteraktionsprotokollen offengelegt.
Obwohl ich der Entscheidung, zu priorisieren, bereits widerspreche, gibt es hier Randfälle, die meiner Meinung nach definitiv unerwünscht sind und an einen bug grenzen. Der größte, den wir gefunden haben: Moderatoren können derzeit jede einzelne Nachricht lesen, die einen Link zu einem externen Bild enthält, da @system das Bild herunterlädt, den Beitrag bearbeitet und dies in den Mitarbeiteraktionsprotokollen erfasst wird.
Ich bin mir nicht sicher, was hier der richtige Weg ist. Soll der Zugriff auf das Mitarbeiteraktionsprotokoll für Moderatoren konfigurierbar sein? Soll die Anzeige des Beitrags bei Mitarbeiteraktionsprotokolleinträgen von @system nicht erlaubt sein? Soll die Funktion „Beitrag anzeigen
