Notre instance de Discourse utilise SSO pour permettre aux utilisateurs de se connecter à notre forum, et nous ne permettons pas à nos utilisateurs de modifier leur adresse e-mail sur le forum ; cela se fait entièrement sur notre site principal.
Cela étant dit, si un compte est compromis et que l’attaquant décide de se rendre sur notre forum, il aura une visibilité complète sur l’adresse e-mail de l’utilisateur.
Pourrions-nous avoir une fonctionnalité qui masque ou censuré l’adresse e-mail de l’utilisateur si elle est activée dans les paramètres, tout en permettant toujours aux administrateurs de voir les adresses e-mail ?
@InceptionTime, les adresses e-mail ne sont visibles que par les administrateurs et l’utilisateur concerné. Vous voyez l’adresse e-mail dans la capture d’écran car il s’agit de votre compte. Essayez de consulter un autre utilisateur.
Notre problème actuel est que si un compte est compromis sur notre site principal et que le pirate décide de se rendre sur notre forum pour se connecter avec le compte piraté, il peut alors voir l’e-mail de la victime.
Cependant, sur notre site principal, nous censurons l’e-mail pour des raisons de sécurité.
Nous souhaitons pouvoir également censurer l’e-mail de l’utilisateur connecté sur notre forum Discourse.
Vous pouvez masquer l’adresse e-mail via CSS, mais quelqu’un pourrait toujours la consulter via les outils de développement du navigateur. Pour la masquer complètement, vous devrez probablement créer un plugin.
Cela dit, si vos utilisateurs peuvent être compromis sur votre site principal, vous avez probablement des problèmes plus importants que la révélation de leur adresse e-mail.
Nous allons étudier la possibilité de créer un plugin dans ce cas.
C’est un cas très rare, mais nous avons reçu un rapport de « bug » à ce sujet et nous voulions le transmettre pour voir s’il était possible de faire quelque chose.
