La nostra istanza di Discourse utilizza l’SSO per consentire agli utenti di accedere al nostro forum e non permettiamo loro di modificare l’indirizzo email sul forum; tutto ciò viene gestito sul nostro sito principale.
Detto questo, se un account viene compromesso e l’attaccante decide di accedere al nostro forum, avrà piena visibilità dell’indirizzo email dell’utente.
Potremmo avere una funzionalità che nasconde o oscura l’indirizzo email dell’utente se abilitata nelle impostazioni, ma che permetta comunque agli amministratori di visualizzare le email?
@InceptionTime, gli indirizzi email sono visibili solo agli amministratori e all’utente stesso. Stai vedendo l’email nello screenshot perché sei tu l’utente. Prova a visualizzare un altro utente.
Quindi il nostro problema attuale è che, se un account viene compromesso sul nostro sito principale e l’hacker decide di accedere al nostro forum e entrare nell’account violato, può vedere l’email della vittima.
Tuttavia, sul nostro sito principale, l’email viene oscurata per motivi di sicurezza.
Vogliamo la possibilità di oscurare anche l’email dell’utente connesso sul nostro forum Discourse.
Puoi nascondere l’email tramite CSS, ma qualcuno potrebbe comunque visualizzarla tramite gli strumenti di sviluppo del browser. Per nasconderla completamente, probabilmente dovrai creare un plugin.
Detto questo, se i tuoi utenti possono essere compromessi sul tuo sito principale, ritengo che tu abbia problemi ben più gravi della rivelazione delle loro email.
