Наш экземпляр Discourse использует SSO для входа пользователей на наш форум, и мы не разрешаем пользователям менять свой email на форуме — это делается на нашем основном сайте.
При этом, если аккаунт будет скомпрометирован, и злоумышленник зайдет на наш форум, он получит полный доступ к email-адресу пользователя.
Можно ли реализовать функцию, которая скрывает или заменяет звездочками email-адрес пользователя (если эта опция включена в настройках), но при этом позволяет администраторам просматривать email?
@InceptionTime, электронные адреса видны только администраторам и самим пользователям. Вы видите email на скриншоте, потому что это ваш аккаунт. Попробуйте посмотреть профиль другого пользователя.
Итак, наша текущая проблема заключается в том, что если аккаунт на нашем основном сайте будет скомпрометирован, и хакер перейдёт на наш форум и войдёт в скомпрометированный аккаунт, он сможет увидеть email жертвы.
Однако на нашем основном сайте email цензурируется по соображениям безопасности.
Мы хотим иметь возможность цензурировать email вошедшего пользователя и на нашем форуме Discourse.
Вы можете скрыть электронную почту с помощью CSS, но кто-то всё равно сможет увидеть её через инструменты разработчика в браузере. Чтобы полностью скрыть её, скорее всего, потребуется создать плагин.
Тем не менее, если ваши пользователи могут быть скомпрометированы на вашем основном сайте, у вас, вероятно, есть проблемы гораздо серьезнее, чем раскрытие их электронной почты.
