На нашем форуме, разумеется, есть несколько сотрудников, которые следят за ним на случай, если что-то плохое произойдёт.
Когда я возился с панелью администратора, я заметил функцию «Проверка IP». Я использовал её на себе, и она показала точное местоположение.
Поняв, что этим можно злоупотребить, я зашёл в раздел «Журналы и фильтрация», чтобы проверить, сообщает ли сам Discourse о том, что сотрудник проверял чей-либо IP-адрес. Не сообщает.
Вот видео:
Почему Discourse не записывает это в журналы? Я считаю, что должен, поскольку этим можно легко злоупотребить.
(Пользователь в этом видео использовал VPN в целях безопасности.)
Сама функция «Поиск по IP» не является уникальной для Discourse — вы можете просто скопировать/вставить IP-адрес и воспользоваться сторонним инструментом определения геолокации по IP.
Тем не менее, было бы полезно реализовать механизм, аналогичный тому, что используется для адресов электронной почты: IP-адрес скрывался бы по умолчанию, а кнопка «Показать» фиксировала бы это действие в логах.
Я понимаю, но неужели это не может быть легко использовано во вред?
Был один форум, который являлся форком другого (Gimkit Creative), и владелец того форума тайно собирал IP-адреса, чтобы позже разыскать людей, использовавших альтернативные аккаунты на форуме Gimkit Creative.
В любом случае, тот пользователь уже давно ушёл, и это произошло в прошлом году.
Обратите внимание, что администратор всегда может обойти такой механизм различными способами (создать и скачать резервную копию, использовать плагин «Исследователь данных»), поэтому в любом случае это не обеспечивает 100% защиту.
Если сотруднику нельзя доверять, у вас есть другая (и гораздо более серьёзная) проблема.