Nuestra instancia de Discourse utiliza SSO para permitir que los usuarios inicien sesión en nuestro foro, y no permitimos que los usuarios cambien su correo electrónico en el foro; todo esto se realiza en nuestro sitio principal.
Dicho esto, si una cuenta es comprometida y el atacante decide acceder a nuestro foro, tendrá visibilidad completa de la dirección de correo electrónico del usuario.
¿Podríamos tener una función que oculte o enmascare el correo electrónico del usuario si está habilitada en la configuración, pero que aún permita a los administradores ver los correos electrónicos?
@InceptionTime, los correos electrónicos solo son visibles para los administradores y el propio usuario. Estás viendo el correo en la captura porque es tu cuenta. Intenta ver otra cuenta de usuario.
Nuestro problema actual es que si una cuenta es comprometida en nuestro sitio web principal y el hacker decide ir a nuestro foro e iniciar sesión con la cuenta hackeada, pueden ver el correo electrónico de la víctima.
Sin embargo, en nuestro sitio principal censuramos el correo electrónico por razones de seguridad.
Queremos tener la capacidad de censurar también el correo electrónico del usuario conectado en nuestro foro Discourse.
Puedes ocultar el correo electrónico mediante CSS, pero alguien aún podría verlo usando las herramientas de desarrollo del navegador. Para ocultarlo por completo, es probable que necesites crear un plugin.
Dicho esto, si tus usuarios pueden verse comprometidos en tu sitio principal, creo que tienes problemas más graves que la revelación de sus correos electrónicos.
