Безопасность — негативные права (как?)

Peter_Backgren · 15.Апрель.2024 07:39:27

(почему объясняется в последнюю очередь)

У нас есть права «Создавать» и «Смотреть» и т. д. Мне нужен простой способ предоставить группе право «Смотреть» для всего сайта, за исключением нескольких областей — по сути, отрицательное право, которое применяется с более высоким приоритетом.

Просто думаю вслух, так как проверка всех возможных вариантов займёт время. Немного надеюсь, что кто-то скажет: «А почему бы вам не сделать это вот так…».

Возможно, я мог бы создать группу, у которой есть только право «Смотреть». Думаю, Discourse достаточно умён, чтобы если у кого-то есть право «Смотреть», а у всех остальных — право «Писать», то эта область станет доступна только для просмотра для данной группы? Это было бы своего рода автоматическим внедрением отрицательного права (самый дешёвый вариант), хотя и не самым логичным. Проблема в том, что даже если это сработает, прохождение по всем областям и добавление группы для «неприятных, но необходимых» пользователей займёт время.

Нельзя удалить пользователя из группы «Все», хм.

Создание нового псевдо-«Все» с правами для всех, кроме проблемных пользователей, — это огромная работа (возможно, не с помощью скрипта, но всё же).

Как я уже сказал, думаю вслух, пытаясь решить проблему… очень надеюсь на озарение :D.

Сама проблема заключается в том, что один пользователь пишет свои сообщения в любую область, которую он в данный момент читает (часто — в самый последний пост чего угодно). Это не критично, за исключением того, что его сообщения настолько бессвязны, что неизбежно будут мешать другим пользователям. Проблема в том, что он абсолютно необходим в одной области (100%, финансовая тема), но я был бы рад ограничить его режимом «Только просмотр» везде в остальных местах.

Большая часть форума состоит из закрытых областей, к счастью, но люди всё равно получают еженедельные письма или уведомления, когда он распространяется в одну из немногих общих областей.

traceymoko · 15.Апрель.2024 08:42:09

Peter Bäckgren:

Создание нового псевдо-«всех», включающего всех, кроме нарушающих правила пользователей, потребовало бы огромной работы (возможно, не с помощью скрипта, но всё же).

Как я уже говорил, я просто вслух обдумываю решение проблемы… надеясь, что у меня вдруг озарение случится .

Собственно, проблема в том, что один пользователь пишет свои сообщения в любую область, которую он в данный момент читает (часто — в самое свежее сообщение чего угодно). Само по себе это не страшно, но его сообщения настолько бессвязны, что неизбежно мешают другим пользователям. Проблема в том, что он абсолютно необходим в одной области (на 100%, в финансовой теме), но я с радостью перевёл бы его в режим «только чтение» везде в остальных разделах.

Думаю, в Discourse максимально близкое решение — это замолчать пользователя. Это позволит ему читать и видеть контент, но не публиковать сообщения:

https://meta.discourse.org/t/discourse-moderation-guide/63116#silence-the-user-26

Joshua Rosenfeld:

Если поведение продолжится, обязательно примените указанные последствия. Вы можете…

Замолчать пользователя

Замолчанные пользователи не могут создавать новые темы, сообщения, флаги или личные сообщения на сайте. Они по-прежнему могут выполнять другие действия, например, ставить «лайки» сообщениям, читать темы, отвечать на личные сообщения и т. д. Кроме того, они могут общаться с модераторами через личные сообщения, так что вы сможете продолжать диалог с ними, чтобы попытаться исправить поведение.

Это решение недостаточно гибкое, чтобы разрешить ему публиковать сообщения только в определённых категориях.

Но, как упоминается в руководстве для модераторов, сначала стоит попробовать связаться с пользователем, прежде чем прибегать к функциям «замолчать» или «забанить»:

https://meta.discourse.org/t/discourse-moderation-guide/63116#the-difficult-user-22

Joshua Rosenfeld:

Не делайте предположений

Сначала постарайтесь не предполагать, что у пользователя негативные намерения. Возможно, он просто не знает правил, плохо владеет языком форума, молод или имеет другую причину для такого поведения.

Свяжитесь напрямую

Попытайтесь связаться с пользователем конфиденциально через личные сообщения, чтобы объяснить, что именно в его поведении неправильно. Помните: говорите о негативном поведении, не атакуйте самого пользователя. По возможности ссылайтесь на существующие правила, руководства, разделы FAQ или аналогичные материалы.

В большинстве случаев такого контакта будет достаточно. Однако, если нет…

RGJ · 15.Апрель.2024 09:26:06

Нет, эти права всегда суммируются.

Peter_Backgren · 15.Апрель.2024 14:21:38

Да, к сожалению, это не сработает, так как он владеет половиной форума, и в 95% случаев его решение необходимо . Ну что ж, это случается редко, да и уборка — не такая уж большая проблема (пропустив вопросы, где были его посты). Хорошее техническое решение всегда можно оправдать «техническими трудностями»

Только что пообщались, оказывается, он начинает спамить везде, когда достигает максимального уровня в 3 поста. Но, возможно, я снова переместил его в личные сообщения, пока он в следующий раз не забудет об этом…

Хм, может быть, полезно зафиксировать его уровень доверия на 0 или что-то в этом роде .

Peter_Backgren · 15.Апрель.2024 14:32:41

Я почти всегда говорил, что отрицательные права доступа (обычно) — это результат плохого дизайна. Удивительно, что я нашёл ситуацию, где они действительно могут пригодиться.

В конце концов, это по сути битовая маска: сначала применяются все добавочные права, а отрицательные — в последнюю очередь.

Представляю, как это может быть полезно для пожилых людей (не самый политкорректный пример): разрешать доступ только к разделу «Как пользоваться» и затем к тем разделам, которые интересуют их конкретную группу.

Думаю, мне просто повезло: я почти все разделы сделал закрытыми, поэтому по умолчанию пользователи не отвлекаются на то, что их не интересует. Для 99% пользователей слишком сложно самому отметить раздел как «не следить» или включить режим «без уведомлений». Или отключить ежедневные/еженедельные дайджесты. Проще переместить всё в спам, а потом жаловаться, что они так и не получили уведомления о чём-то :D.

RGJ · 15.Апрель.2024 14:42:31

Ещё один пример — если вы хотите запретить доступ определённым людям, например, к каналу Marketplace.

Я работаю над плагином, который позволяет создавать динамические группы, чтобы можно было выполнять булевы операции, например:

groupA = groupB И НЕ groupC

При этом groupA будет автоматически обновляться, если кто-то присоединится к groupB или groupC или покинет их. Я планирую завершить разработку в течение следующего месяца или около того.

jimkleiber · 15.Апрель.2024 16:15:03

Эта концепция также обсуждалась здесь ранее:

Я всё ещё поддерживаю это

Peter_Backgren · 15.Апрель.2024 18:06:50

Круто, поиск обычно находит похожие вещи, но подобрать правильные слова здесь было настоящей работой . По сути, группа исключений прав, которая всегда имеет наивысший/окончательный приоритет, была бы самым простым решением (не несколько групп или что-то слишком сложное).

Ну что ж, похоже, это не появится в ближайшее время, если вообще когда-нибудь появится.

Я написал две системы наследования и исключения прав за свою жизнь, и хотя их создание казалось довольно сложным, как только логика и порядок были установлены, они работали как по маслу (и при этом не требовалось много кода). Однако мало кто понимал, как работает каждая из них <улыбка>. Четыре уровня разрешённого наследования и исключения, вероятно, требуют уровня Mensa или чего-то подобного. Даже когда есть варианты использования для всех уровней.

pfaffman · 15.Апрель.2024 19:04:39

Так что проблема в том, что он не может писать там, где вы хотите, поэтому начинает писать в других местах. [quote]
Количество сообщений подряд, которое пользователь может отправить в теме, прежде чем ему запретят добавлять новые ответы. Это ограничение не распространяется на владельца темы, сотрудников сайта или модераторов категории.
[/quote]

Значит, решение — убедиться, что он может писать там, где вы хотите. Не максимальное количество последовательных ответов ли это вызывает проблему?

Возможно, он упирается в этот лимит, потому что не редактирует сообщения, а просто продолжает отвечать самому себе? Может, просто изменить настройку или научить его редактировать?

Peter_Backgren · 16.Апрель.2024 06:37:39

Что ж, настоящая проблема, которая была намёкнута довольно туманно, заключается в том, что на форуме нет «алкозамка». С другой стороны, ему не нужно устраиваться на работу, так что проговаривать это на самом деле не имеет значения.

Так что вопрос скорее в том, что ответы появляются после того, что он прочитал в последний раз. После 15-го пива обучение не очень помогает :D. В данном случае даже ограниченный доступ вне часов с 9 до 17 не помог бы. Тексты на самом деле довольно поучительные, проблема в том, что как только вы упоминаете (любого) бога или существование (или несуществование) чего-либо, вы неизбежно обидите половину планеты…

Так что даже если это остановит разговор (поскольку он частично неразрешим :)), технические аспекты, которые вы иногда желали бы иметь, учитывая обычных пользователей, остаются валидными.

pfaffman · 16.Апрель.2024 09:52:00

Это сложная задача.

riking · 19.Апрель.2024 00:39:49

По сути, для работы в этой области требуется масштабная переработка системы разрешений на уровне кода.

Тема		Ответов	Просм.
Everyone permissions + "See" permissions Support	12	2231	05.10.2022
New category permission - "cannot see"/"exclude" Feature	36	4457	04.09.2024
Need ability to ban one or more users from a category Feature	29	2944	23.12.2023
Read Only Users? Feature read-only	11	2623	15.03.2019
Allow write access without read access Feature	2	995	03.04.2022

Безопасность — негативные права (как?)

Связанные темы