Salut tout le monde,
Le comportement actuel est le suivant : lorsqu’on se fait passer pour un compte utilisateur, la date de dernière connexion est affectée par cette action. Ce comportement prête à confusion pour les autres utilisateurs et notre équipe, car ils supposent que l’utilisateur était réellement connecté à cette date/heure.
Ma suggestion est de ne pas prendre en compte l’usurpation d’identité pour la date de dernière connexion.
J’apprécierais vos retours à ce sujet 
Je dois désapprouver cela. Je connais quelques forums de mes communautés auxquels mes amis et moi avons participé, où les administrateurs de ces forums utilisaient malicieusement la fonction « usurper » pour essayer de mettre des gens dans l’embarras.
Le personnel devrait avoir accès aux journaux du personnel qui indiquent quand et qui a usurpé un compte. Vous devriez en informer tous les membres de votre équipe.
Les administrateurs pourraient toujours réinitialiser cette date dans la base de données ou empêcher la mise à jour de la date de dernière connexion grâce à un plugin. Si vous ne pouvez pas faire confiance aux administrateurs, il n’y a rien que vous puissiez faire.
C’est un défaut du système plus que tout autre chose.
Une chose qui pourrait réellement aider, selon moi, serait d’envoyer un message à l’utilisateur lui indiquant qu’il a été usurpé. Oui, cela pourrait être contourné par les créateurs de plugins, mais la plupart des administrateurs malveillants sont généralement des adolescents qui s’effraient face à ce genre de choses, ou des adultes qui ne seraient pas vraiment en mesure de payer quelqu’un pour programmer un plugin pour eux.
Je pense que nous nous éloignons un peu du sujet. Le fait que la dernière connexion soit mise à jour lorsqu’un utilisateur est supplanté est plus déroutant qu’utile.
Si nous avons besoin de plus d’audits concernant le supplantement d’identité, c’est une autre question.
Au fait, je pense que vous faites ici certaines hypothèses dangereuses.
Suite rapide concernant notre cas d’utilisation.
Compte tenu de la nature de notre sujet, les utilisateurs sont très préoccupés par la confidentialité. Ainsi, chaque fois qu’un utilisateur de longue date, qui était auparavant un utilisateur principal, réapparaît et a une date de « dernière connexion » récente en raison d’une usurpation d’identité par un administrateur, certains de nos utilisateurs sont soit préoccupés, soit quelque peu confus… 
Si vous utilisez la nouvelle fonctionnalité d’usurpation d’identité (activée en définissant le paramètre de site caché experimental_impersonation sur true), l’horodatage last_seen_at ne sera plus modifié lors de l’usurpation d’identité d’un utilisateur.
Nous sommes encore en train de planifier le déploiement de la nouvelle fonctionnalité d’usurpation d’identité sur les forums hébergés par Discourse.
Je crois comprendre que l’intention de la nouvelle fonctionnalité d’usurpation d’identité est de réduire son impact, mais il y a actuellement des effets autres que last_seen_at. Autant que je sache, lorsque vous usurpez l’identité de quelqu’un, vous êtes cet utilisateur.
Vous cliquez sur une notification en attente ? Il l’a maintenant vue.
Vous ouvrez un message non lu ? Il l’a maintenant lu.
Sachant cela, je ne l’utiliserais que pour le dépannage avec la connaissance de l’utilisateur. Je n’aurais aucun problème à ce que les utilisateurs soient informés et reçoivent un journal d’activité d’une session d’usurpation d’identité.
D’accord, mais quand ma dernière IP reste là, publique pour que cet utilisateur la voie ? Moi, en tant qu’administrateur, quand j’usurpe l’identité d’un utilisateur, mon IP est-elle “fuitée” ou ai-je tort ?
Ma solution a été de cacher cette section
