خيار لإخفاء عناوين IP عن المشرفين

وبقصدك هذا، سيكون لديك… لأنني أستطيع استخدامه لكل شيء تقريبًا بالفعل، المصرفية، الضرائب، حتى هنا

أنا أعمل على هذه الميزة! (أو على الأقل أبذل قصارى جهدي)

أفكاري هي إضافة خيار في المسؤول > إعدادات الموقع > الأمان ضمن تحديد زر الراديو عرض رسائل البريد الإلكتروني للمشرفين. وفقًا لطلب الميزة الأصلي، بدلاً من استخدام هذا المحدد كعلامة لتشغيل/إيقاف CSS لعناوين IP من عرض المشرف، يمكننا التحقق مما إذا كان دور المستخدم الحالي هو مشرف في الواجهة الخلفية ومنع Rails من الاستعلام عن قاعدة البيانات لحقول IP في نموذج المستخدم. وأخيرًا، إخفاء خيارات IP في واجهة المستخدم في ملفات تعريف المستخدمين/السجلات.

نظرة عامة عالية جدًا ولكن هذه هي الطريقة التي أفكر بها في الحل. يجب أن أقدم طلب سحب هذا الأسبوع ليتمكن الأشخاص من التعليق عليه إذا كانوا مهتمين!

PR is up here for review! FEATURE: add option to hide IP addresses from moderators by Beznet · Pull Request #31456 · discourse/discourse · GitHub

لقد رأيت أن هذا تمت الموافقة عليه في بداية مارس. ولكن لم يتم دمجه بعد، والآن هناك تعارضات. ما الذي كان مفقودًا في مارس لدمجه؟ ما هو وضع الأمور؟

ربما يجب عليك التفكير في استخدام شبكة افتراضية خاصة (VPN) أو خادم وكيل. حتى أن مقدم الطلب قدم الحل البسيط والمخترق باستخدام CSS الذي يمكنك وضع الكود فيه ليتم تطبيقه فقط على غير المسؤولين.

إذا كنت تستضيف بنفسك، يمكنك حتى إنشاء إضافة بسيطة لجعل التعديل يعمل على جانب الخادم بدلاً من جانب العميل. ومع ذلك، يجب أن يكون المشرف الكامل موثوقًا به بما يكفي لعدم كونه مصدر قلق. وإذا كان مصدر قلق، فهناك مشرفون للفئات يمكنهم إدارة العلامات ولكن لا يمكنهم إسكات أو تعليق.

لدى @RGJ إضافة يمكنها تمديد الصمت/الحظر الجزئي من فئة معينة. كانت هناك أيضًا إضافة لتوسيع قدرات مشرفي الفئات zmod ولكن الإضافة لم تعد مدعومة. لذلك، إذا كنت تستضيف بنفسك ولديك ميزانية، فيمكن رعاية إحياء الإضافة أو إنشاء إخفاء عنوان IP عن المشرفين في Marketplace.

هذا هو سبب دعم Discourse Meta لـ Plugin و Theme و Theme component مخصص.

هذا الطلب، إذا تم تقديمه كإضافة (plugin)، سيغير جانب الخادم لتحقيق أفضل أمان. ومع ذلك، فإن مكون السمة (TC) من الناحية النظرية يجب أن يكون جيدًا، حيث يجب اختيار المشرفين بالكامل بعناية أكبر بكثير من مشرف Reddit.

أنا أختلف. إذا أراد شخص ما إساءة استخدام عنوان IP، فسيكون مستعدًا لبذل جهد، ولن يوقفه TC يخفي الأشياء بشكل تجميلي فقط.

من وجهة نظر تقنية / قانونية، يتم إرسال عنوان IP حتى إلى أجهزتهم.

وهذا يعود إلى أن المشرف الكامل هو موظف الموقع الرئيسي. إذا كنت لا تعتقد أنه يمكنك الوثوق بهم. اجعلهم مشرفي فئات كما يفعل مشرفو Reddit، فهم لا يملكون الوصول إلى أي معلومات حساسة.

إذا كان مشرفوك الكاملون من النوع الذي يتجاوز ضوابط الموقع. هل يجب أن تثق بهم؟

مع الوضع الآمن، هل يمكنك جعله متاحًا للمسؤولين فقط أم أن قدرة التقييد قابلة للتدمير فقط للموظفين؟

يجب أن يكون الموظف الموثوق به حقًا قادرًا على الوثوق به لعدم المساس بميزات/أمان الموقع.

الآن مع المكون الإضافي لتوسيع مشرف الفئة. أتذكر أن سام قال إنه لم يكن يعارض إضافة المزيد من الخيارات لمشرف الفئة.

في رأيي، يجب إضافة مكون الفئة الإضافي الخاص بك الذي يضيف خيارات لكتم صوت المستخدمين وحظرهم من النشر إلى النواة. كما أنه سيكمل التكافؤ في سمة Reddish بمزيد من الميزات الشبيهة بـ Reddit.

حتى. في رأيي، يجب أن يتمتع المشرف الكامل بتحكم أكثر تفصيلاً. ولكن إذا حصل مشرف الفئة على المزيد من الخيارات، فقد يكون ذلك أكثر من كافٍ.

حتى المسؤول يمكنه استخدام بعض خيارات التحكم التفصيلية للمسؤولين الذين يحتاجون إلى الوصول إلى ميزات مسؤول معينة ولكن مالك الموقع يرغب في الاحتفاظ ببعض الأشياء مقيدة للموظفين ذوي المستوى الأعلى.

بالتأكيد، أنت على حق. ولكن الأمر لا يتعلق بالثقة فقط. تتطلب اللائحة العامة لحماية البيانات (GDPR) وقوانين الخصوصية الأخرى أيضًا أن تقلل من المساحة التي تعرض المعلومات الشخصية التعريفية (PII)، أي إذا لم يكن شخص ما بحاجة إلى رؤية تلك البيانات، فلا ينبغي أن يكون قادرًا على الحصول عليها.

أنت تعقد الأمور:

• إذا تم تنفيذ هذا كـ TC، يمكن للمشرف رؤية عنوان IP دائمًا، سواء كان الوضع آمنًا أم لا.
• إذا تم تنفيذ هذا بشكل صحيح كملحق، فلن يتمكن المشرف من رؤية عنوان IP أبدًا، سواء كان الوضع آمنًا أم لا.

إذًا، هل يمكنك الحصول على إضافة غير معطلة في الوضع الآمن؟ ألا يقوم أحد الخيارات بتعطيل جميع الإضافات/القوالب؟

إذا كان الأمر كذلك، فهل الأمان الأفضل الذي أشار إليه PR في هذا الموضوع هو الأفضل؟

image1168×355 28 KB

أي، التعديلات من جانب الخادم لا تتأثر بالوضع الآمن (إذا لم يتم التعامل معها صراحةً بواسطة الإضافة)

طلب السحب إلى النواة سيكون دائمًا أفضل من إضافة! ولكن من ناحية الأمان، لن يكون هناك فرق كبير.

لقد نظرت إلى طلب السحب ولا أفهم لماذا لم يتم دمجه أيضًا…؟ @featheredtoast؟

شكرا للتوضيح.

نعتذر عن التأخير - نحن نعمل على إصلاحه وسندمج قريبًا

تم تحديث طلب السحب (PR) بأحدث إصدار من Discourse ودمجه في النواة.

شكراً لإضافة هذه الميزة إلى Discourse – بالنسبة لنا، فهي تبسط التفويض للمشرفين دون تعقيد الأمور.

وشكراً أيضاً لـ @Beznet على تنفيذه. إنه محل تقدير.

تم إغلاق هذا الموضوع تلقائيًا بعد 12 يومًا. لم يعد يُسمح بالردود الجديدة.