Sono un po’ confuso dal dibattito tra bug e comportamento previsto. Il modo in cui l’ho interpretato è che, per motivi di sicurezza, la creazione di nuovi argomenti via email non è consentita se l’indirizzo email corrisponde a un utente non in staging esistente; questo perché gli indirizzi email possono essere falsificati e quindi gli utenti potrebbero essere impersonati.
Le risposte sono presumibilmente accettabili perché l’indirizzo include la chiave di risposta, dimostrando che il mittente era il destinatario dell’email di notifica e quindi è probabilmente l’utente reale.
Se tale interpretazione del comportamento previsto è corretta, è in contraddizione con ciò che sto effettivamente sperimentando. Se il mio utente ha il permesso di creare nella categoria e invio un’email dal mio indirizzo email registrato all’indirizzo email_in della categoria, l’indirizzo email viene associato al mio utente e viene creato un nuovo argomento dal mio utente.
Ciò accade indipendentemente dal fatto che accetta email da utenti anonimi senza account sia abilitato, poiché il mio utente ha il permesso di creare.
La situazione attuale sembra essere: (con l’email in utenti anonimi abilitata)
- Email ricevuta da indirizzo senza utente; utente in staging creato, nuovo argomento creato.
- " " " indirizzo con utente in staging; utente in staging associato, nuovo argomento creato.
- " " " indirizzo con utente reale con permesso di creare; utente reale associato, nuovo argomento creato.
- " " " indirizzo con utente reale senza permesso di creare; utente reale associato, nuovo argomento rifiutato.
(Nota: non ho testato il punto 4 ora) Con l’email in utenti anonimi abilitata, mi aspetterei che 3 e 4 si comportino sempre allo stesso modo. Sia che vengano entrambi rifiutati per proteggere dall’impersonificazione, sia che vengano entrambi accettati sulla base del fatto che un utente reale non dovrebbe avere meno permessi di un utente anonimo, non dovrebbero avere risultati diversi.