Здравствуйте. Я столкнулся с проблемой, позволяющей использовать в имени пользователя любой символ Unicode, кроме пробела. Я создал тестовый аккаунт для демонстрации этого:
https://meta.discourse.org/u/%E3%85%A4%E3%85%A4%E3%85%A4/summary
Кроме того, если вы находитесь на том же форуме, профиль становится некликабельным.
ссылка на профиль
Это сделано намеренно из-за настройки сайта выключено по умолчанию:
Мы отключаем это по умолчанию именно из-за этого вектора.
Ох… это очень приятно:
Спасибо за сообщение об этой проблеме.
Настройка сайта unicode usernames по умолчанию отключена, и мы рекомендуем настроить параметр allowed unicode username characters, чтобы избежать подобных проблем, поэтому это не является критической проблемой (см. Unicode usernames and group names).
Тем не менее, я подготовил исправление, которое всегда будет предотвращать использование невидимых символов в именах пользователей, даже для тех, кто не настроил разрешённый список.
Эта тема была автоматически закрыта через 24 часа после последнего ответа. Новые ответы больше не принимаются.
