Neue Funktionen in 2.4.0.beta10
Größere Emojis
Wenn 1–3 Emojis allein in einer Zeile stehen, werden sie jetzt automatisch vergrößert! Jetzt können Sie mit Emojis kommunizieren, ohne so stark zu blinzeln.
Verleihung eines Abzeichens an eine Benutzergruppe
Abzeichen unterstützen jetzt die „Massenverleihung“, sodass Administratoren eine Liste mit Benutzer-E-Mail-Adressen hochladen können, denen alle ein Abzeichen verliehen wird. Für weitere Informationen siehe Bulk Award a badge to a set of users
MaxMind DB-Downloads erfordern jetzt einen Lizenzschlüssel
Discourse nutzt die kostenlose MaxMind GeoLite2-IP-Datenbank, um Standortinformationen für Benutzer und Administratoren bereitzustellen. Dies ermöglicht Funktionen wie „Zuletzt verwendete Geräte“ in den Benutzereinstellungen und IP-Abfragen auf den Administrationsseiten für Benutzer. Aufgrund von Änderungen, die durch die CCPA erforderlich wurden, hat MaxMind den Download-Prozess geändert. Um die Datenbank herunterzuladen, müssen Administratoren jetzt ein Konto registrieren und einen (kostenlosen) Lizenzschlüssel erhalten. Weitere Informationen unter Upgrade / Rebuilds Fail due to MaxMind DB EOL - #23 by sam.
Abschaffung der Unterstützung für Internet Explorer 11
Discourse wird die Unterstützung für IE11 am 1. Juni 2020 beenden. Benutzer werden dringend aufgefordert, auf einen unterstützten Browser umzusteigen, um die Nutzung von Discourse ohne Unterbrechung fortzusetzen. Discourse wird Benutzern oben auf der Website eine Warnung anzeigen, dass die Unterstützung für IE11 endet. Für weitere Informationen siehe Discourse is ending support for Internet Explorer 11 (IE11) on June 1, 2020
CSP standardmäßig aktiviert
Anfang 2019 hat Discourse erstmals eine Content Security Policy (CSP) unterstützt, eine zusätzliche Sicherheitsebene, die hilft, bestimmte Angriffsarten zu erkennen und zu mildern, darunter Cross-Site-Scripting (XSS) und Dateninjektionsangriffe. CSP wurde im letzten Jahr für neue Sites aktiviert, ältere Sites hatten CSP jedoch nicht aktiviert, ohne dass eine explizite Aktion durch den Administrator erforderlich war. Mit beta10 wird CSP für alle Sites aktiviert, es sei denn, ein Administrator deaktiviert sie explizit (dringend abgeraten). Sites, die externe Skripte ausführen, z. B. Google Analytics, Werbung, Tracking usw., müssen möglicherweise konfiguriert werden, um weiterhin zu funktionieren. Weitere Informationen zu CSP und zur Konfiguration von Skripten finden Sie unter Mitigate XSS Attacks with Content Security Policy
Sicherheitsupdates
Dieses Beta enthält 4 Sicherheitskorrekturen für Probleme, die von unserer Community und HackerOne gemeldet wurden. Es wird dringend empfohlen, dass Sites ein Update durchführen, um diese Patches zu erhalten.
- 2FA mit U2F / TOTP
- Verwendung einer strengen JSON-Parsing bei der Analyse von Backup-Metadaten
- Verbesserung der Logik für die zweite Faktor-Authentifizierung
- Datenschutzleck bei gestaffelten Benutzern und geschlossenen Kategorien