Além disso, como comecei por este caminho, agora recebo isto quando tento editar certos textos do site:
Consigo replicar isso. É este URL que não funciona:
/admin/customize/site_texts?q=confirm%20old
Não me lembro de o link ter funcionado sem um parâmetro de local 
/admin/customize/site_texts?q=confirm%20old&locale=en funciona bem para mim.
E acho que o fato de você não poder personalizar o texto de “confirmar e-mail antigo” é intencional. É um e-mail enviado apenas para a equipe.
2 curtidas
Isso também é um bug de UX? Não deveria ser possível chegar a uma página críptica de "Acesso Negado" ao pesquisar textos do site e depois editá-los.
2 curtidas
Chegou ao meu conhecimento que, desde a postagem de Codinghorror, a configuração require change email confirmation (exigir confirmação de alteração de e-mail) foi adicionada. Isso significa que a mensagem agora pode ser enviada para mais pessoas do que apenas a equipe.
A razão original para bloquear edições neste modelo era válida na época, mas hoje a proteção que ele oferece é diferente. Um invasor que conhece a senha de um administrador pode simplesmente:
- Usar a senha para configurar a autenticação de dois fatores para essa conta.
- Criar uma nova conta.
- Usar o código 2FA para conceder direitos de administrador à nova conta.
A partir daí, eles podem enviar o backup para seu próprio endereço de e-mail sem precisar que um administrador clique em um link para confirmar uma alteração de endereço.
Portanto, a pergunta é: bloquear edições neste modelo ainda faz sentido? Ele agora é enviado para usuários regulares e não protege mais o download de um backup.
Além disso, o Data Explorer agora está sempre instalado e pode ser usado para acessar o banco de dados.