Nossa instância do Discourse usa SSO para permitir que os usuários façam login em nosso fórum, e não permitimos que os usuários alterem seu e-mail no fórum; tudo isso é feito em nosso site principal.
Dito isso, se uma conta for comprometida e o invasor decidir acessar nosso fórum, ele terá visibilidade total do endereço de e-mail do usuário.
Seria possível ter um recurso que oculte/censure o e-mail do usuário se ativado nas configurações, mas que ainda permita que administradores visualizem os e-mails?
@InceptionTime, os e-mails são visíveis apenas para administradores e para o próprio usuário. Você está vendo o e-mail na captura de tela porque é o seu usuário. Tente visualizar um usuário diferente.
Portanto, nosso problema atual é que, se uma conta for comprometida em nosso site principal e o hacker decidir acessar nosso fórum e fazer login na conta hackeada, ele poderá ver o e-mail da vítima.
No entanto, em nosso site principal, ocultamos o e-mail por motivos de segurança.
Desejamos ter a capacidade de também ocultar o e-mail do usuário logado em nosso fórum Discourse.
Você pode ocultar o e-mail via CSS, mas alguém ainda poderá visualizá-lo através das ferramentas de desenvolvedor do navegador. Para ocultá-lo completamente, provavelmente será necessário criar um plugin.
Dito isso, se seus usuários puderem ser comprometidos no seu site principal, acredito que você tenha problemas maiores do que o e-mail deles ser revelado.
