Unsere Discourse-Instanz nutzt SSO, um Benutzern die Anmeldung in unserem Forum zu ermöglichen. Eine Änderung der E-Mail-Adresse im Forum ist nicht möglich; dies erfolgt ausschließlich auf unserer Hauptwebsite.
Das bedeutet jedoch, dass bei einem kompromittierten Konto, das der Angreifer für den Zugriff auf unser Forum nutzt, die vollständige E-Mail-Adresse des Benutzers einsehbar ist.
Könnten wir eine Funktion implementieren, die die E-Mail-Adresse des Benutzers mit einem Sternchen maskiert oder zensiert, sofern dies in den Einstellungen aktiviert ist, Administratoren jedoch weiterhin die E-Mail-Adressen einsehen können?
@InceptionTime, E-Mails sind nur für Administratoren und den jeweiligen Benutzer selbst sichtbar. Du siehst die E-Mail im Screenshot, da es sich um deinen Benutzeraccount handelt. Versuche, einen anderen Benutzer anzusehen.
Unser aktuelles Problem ist also, dass, wenn ein Konto auf unserer Hauptwebsite kompromittiert wird und der Hacker beschließt, auf unser Forum zu gehen und sich mit dem gehackten Konto anzumelden, er die E-Mail-Adresse des Opfers einsehen kann.
Auf unserer Hauptwebsite wird die E-Mail-Adresse jedoch aus Sicherheitsgründen zensiert.
Wir möchten die Möglichkeit haben, die E-Mail-Adresse des angemeldeten Benutzers auch auf unserem Discourse-Forum zu zensieren.
Du kannst die E-Mail-Adresse per CSS ausblenden, aber jemand könnte sie dennoch über die Entwicklerwerkzeuge des Browsers einsehen. Um sie vollständig zu verbergen, wirst du wahrscheinlich ein Plugin erstellen müssen.
Das gesagt: Wenn deine Benutzer auf deiner Hauptseite kompromittiert werden können, hast du wohl größere Probleme als die Enthüllung ihrer E-Mail-Adresse.
In diesem Fall werden wir prüfen, ob wir ein Plugin entwickeln können.
Das ist ein sehr seltenes Phänomen, aber wir haben einen Fehlerbericht dazu erhalten und wollten ihn einreichen, um zu sehen, ob etwas unternommen werden kann.
