我们的 Discourse 实例使用 SSO 允许用户登录论坛,且我们不允许用户在论坛上更改电子邮件地址,所有相关操作均在主站点完成。
因此,如果账户被盗用,攻击者访问我们的论坛时,将能完全查看该用户的电子邮件地址。
我们能否增加一项功能:在设置中启用后,对用户的电子邮件地址进行星号隐藏或屏蔽,但仍允许管理员查看电子邮件?
示例:
@InceptionTime,电子邮件仅对管理员和该用户本人可见。你在截图中看到的电子邮件是因为那是你的账户。请尝试查看其他用户。
1 个赞
是的,我的意思就是我们要为已登录用户隐藏电子邮件地址。
1 个赞
你不想让用户看到自己的邮箱?他们本来就知道啊……
恐怕我还没理解你的意思。
我们目前的问题是,如果我们的主网站账户遭到入侵,黑客进入我们的论坛并登录该被盗账户,他们就能看到受害者的电子邮件地址。
然而,出于安全原因,我们在主网站上会对电子邮件地址进行遮蔽处理。
我们希望在 Discourse 论坛上也能够遮蔽已登录用户的电子邮件地址。
你可以通过 CSS 隐藏电子邮件,但有人仍可通过浏览器开发者工具查看。若要完全隐藏,你可能需要开发一个插件。
话虽如此,如果你的用户在你的主网站上容易被攻破,那么比起他们的邮箱被泄露,你还有更严重的问题需要解决。
7 个赞
既然如此,我们将考虑开发一个插件。
这种情况非常罕见,但我们收到了一份关于此问题的“错误”报告,因此想提交看看是否有什么解决办法。