Fehler: Admin kann PM einem Moderator zuweisen, der keinen Zugriff auf die PM hat

tobiaseigen · 1. Mai 2019 um 13:46

I have noticed what I think is a bug with the Discourse Assign - #117 plugin. It is possible for an admin to assign a PM to a moderator who does not have access to the PM. They are notified, but when they click through to see the PM they cannot see it and get an error.

The answer, it seems to me, should be to add the assignee to the message at the same time, or to display an error to the assigner to let them know the assignee is not in the message and cannot be assigned the message.

This obviously does not affect admins who can see all PMs.

jomaxro · 1. Mai 2019 um 15:51

I can repro this. An assign notification is generated despite the user not having access to the PM assigned. Same issue occurs in categories with security that mods can’t access.

codinghorror · 1. Mai 2019 um 23:34

Oh yeah interesting edge case what can we do here @sam?

sam · 2. Mai 2019 um 01:29

I think a minimum change here is to pop up an error saying moderator has no access to the PM when the admin / mod tries to assign.

This particular edge case will become much less of an edge case when we unlock “assign” to designated groups that are not mods.

tobiaseigen · 20. August 2019 um 17:20

Mir ist heute wieder aufgefallen, dass ich viele Nachrichten Moderatoren zugewiesen habe, die keinen Zugriff darauf haben und diese daher nicht weiterverfolgt haben. Ups.

codinghorror · 21. August 2019 um 00:19

LOL, können wir uns auf einfache Weise gegen das oben Genannte schützen, @sam?

sam · 21. August 2019 um 00:32

Das ist jetzt passiert. Vielleicht kann @Roman das weiterverfolgen.

Roman · 2. September 2019 um 18:14

Ich habe einen PR erstellt, um zusätzliche Regeln durchzusetzen, wenn versucht wird, ein Thema zuzuweisen:

Der Benutzer, dem wir zuweisen wollen, muss die Berechtigung zum Zuweisen haben.
Der Benutzer, dem wir zuweisen wollen, muss Zugriff auf das Thema haben.

Der Versuch, einem dieser Benutzer zuzuweisen, führt zu einem Fehler:

Ich denke, wir sollten auch Benutzer ohne Zugriff aus den Ergebnissen des Zuweisungs-Modals entfernen. Dafür muss ich die Benutzersuche-API des Kerns etwas erweitern.

Hier ist der PR:

github.com/discourse/discourse-assign

FEATURE: New rules for assigning a topic. (#46)

master ← enforce_assign_rules

merged 01:31PM - 05 Sep 19 UTC

romanrizzi

+112 -17

As discussed [here](https://meta.discourse.org/t/bug-possible-for-admin-to-assig…n-pm-to-moderator-who-does-not-have-access-to-the-pm/116571/6), it shouldn't be possible to assign a topic to a user when: - The user won't be able to see the topic. - The user is not a member of the assign allowed users. This PR adds some backend rules to prevent these scenarios.

Ich werde jemanden finden, der ihn vor dem Zusammenführen prüft.

Thema		Antworten	Aufrufe
Assign Posts as admin user to a moderator Bug assign	8	1163	29. April 2020
Assign plugin: Note not visible Support assign	4	620	7. Februar 2023
Assign topics to non-staff users Feature assign	27	4835	7. Juli 2021
`assigns public` displays inaccessible link to non-staff users Bug assign	1	399	16. März 2023
Notifications missing when assigning topic Support	3	542	10. Juni 2022

Fehler: Admin kann PM einem Moderator zuweisen, der keinen Zugriff auf die PM hat

Verwandte Themen