Bogue : un administrateur peut attribuer un MP à un modérateur n'ayant pas accès aux MP

tobiaseigen · Mai 1, 2019, 1:46

I have noticed what I think is a bug with the Discourse Assign - #117 plugin. It is possible for an admin to assign a PM to a moderator who does not have access to the PM. They are notified, but when they click through to see the PM they cannot see it and get an error.

The answer, it seems to me, should be to add the assignee to the message at the same time, or to display an error to the assigner to let them know the assignee is not in the message and cannot be assigned the message.

This obviously does not affect admins who can see all PMs.

jomaxro · Mai 1, 2019, 3:51

I can repro this. An assign notification is generated despite the user not having access to the PM assigned. Same issue occurs in categories with security that mods can’t access.

codinghorror · Mai 1, 2019, 11:34

Oh yeah interesting edge case what can we do here @sam?

sam · Mai 2, 2019, 1:29

I think a minimum change here is to pop up an error saying moderator has no access to the PM when the admin / mod tries to assign.

This particular edge case will become much less of an edge case when we unlock “assign” to designated groups that are not mods.

tobiaseigen · Août 20, 2019, 5:20

Je viens de tomber là-dessus aujourd’hui : nous constatons que j’ai assigné de nombreux messages à des modérateurs qui n’y ont pas accès et qui, par conséquent, ne les ont pas suivis. Oups.

codinghorror · Août 21, 2019, 12:19

MDR, peut-on se protéger contre ce qui précède, @sam, d’une manière simple ?

sam · Août 21, 2019, 12:32

Cela vient d’arriver, @Roman pourrait peut-être s’en charger.

Roman · Septembre 2, 2019, 6:14

J’ai ouvert une PR pour imposer des règles supplémentaires lors de l’attribution d’un sujet :

L’utilisateur que nous allons attribuer doit pouvoir effectuer des attributions.
L’utilisateur que nous allons attribuer doit avoir accès au sujet.

Tenter d’attribuer à l’un de ces utilisateurs provoquera une erreur :

Je pense que nous devrions également supprimer les utilisateurs sans accès des résultats de la modale d’attribution. Pour cela, je devrai étendre légèrement l’API de recherche d’utilisateurs du cœur.

Voici la PR :

github.com/discourse/discourse-assign

FEATURE: New rules for assigning a topic. (#46)

master ← enforce_assign_rules

merged 01:31PM - 05 Sep 19 UTC

romanrizzi

+112 -17

As discussed [here](https://meta.discourse.org/t/bug-possible-for-admin-to-assig…n-pm-to-moderator-who-does-not-have-access-to-the-pm/116571/6), it shouldn't be possible to assign a topic to a user when: - The user won't be able to see the topic. - The user is not a member of the assign allowed users. This PR adds some backend rules to prevent these scenarios.

Je trouverai quelqu’un pour l’examiner avant de la fusionner.

Sujet		Réponses	Vues
Assign Posts as admin user to a moderator Bug assign	8	1163	Avril 29, 2020
Assign plugin: Note not visible Support assign	4	615	Février 7, 2023
Assign topics to non-staff users Feature assign	27	4835	Juillet 7, 2021
`assigns public` displays inaccessible link to non-staff users Bug assign	1	399	Mars 16, 2023
Notifications missing when assigning topic Support	3	542	Juin 10, 2022

Bogue : un administrateur peut attribuer un MP à un modérateur n'ayant pas accès aux MP

Sujets connexes