У нас возникла проблема с конфиденциальностью: модераторы получают доступ к сообщениям, к которым у них не должно быть доступа.
Насколько я понимаю, в Discourse здесь пересекаются две цели дизайна:
- Модераторы не освобождены от проверок прав и могут читать только те сообщения, к которым они приглашены.
- Когда модераторы используют свои полномочия, любые их действия логируются и могут быть проверены любым сотрудником.
Иногда эти цели вступают в конфликт, например, когда модератор редактирует пост другого пользователя в сообщении, адресованном этому пользователю. В таких случаях Discourse приоритизирует
: отредактированный пост пользователя раскрывается всем сотрудникам в журналах действий персонала.
Хотя я уже не согласен с решением отдавать приоритет
, здесь есть пограничные случаи, которые, на мой взгляд, явно нежелательны и граничат с #contribute:баг. Самый значительный из найденных нами: модераторы в настоящее время могут читать каждое сообщение, содержащее ссылку на внешнее изображение, потому что @system загружает изображение, редактирует пост, и это записывается в журналы действий персонала.
Я не уверен, какой путь действий здесь правильный. Сделать доступ к журналу действий персонала для модераторов настраиваемым? Запретить просмотр поста для записей журнала действий персонала от @system? Сделать функцию просмотра поста в целом подчиняющейся правам доступа к постам?
В любом случае, я надеюсь, что здесь что-то изменится, поскольку нас вынуждают блокировать доступ к API журнала действий персонала на уровне Nginx.