Neue Funktionen in 2.4.0.beta9

Themenauswahl im Profil

Benutzer können nun ein Thema auswählen, das sie auf ihrem Profil hervorheben möchten. Das Thema wird auf ihrer Benutzerkarte sowie auf ihrer Profilseite angezeigt. Benutzer können ein Thema über den Reiter „Einstellungen“ unter „Profil“ hinzufügen.

image643×271 40.2 KB

Entfernen von unsafe-eval aus der CSP

Wir suchen ständig nach Möglichkeiten, Discourse noch sicherer zu machen. Ende letzten Jahres haben wir die Unterstützung für Content Security Policy (CSP) in Discourse eingeführt. CSPs helfen, XSS-Angriffe abzumildern, eine der häufigsten Web-Sicherheitslücken. Um die bestehenden Discourse-Funktionen und -Plugins vollständig zu unterstützen, haben wir die Direktive unsafe-eval aufgenommen. Wir haben nun alle Verwendungen von eval() in der Produktionsumgebung von Discourse sowie in unseren offiziellen Plugins entfernt und daher auch unsafe-eval aus unserer CSP entfernt, was unsere CSP noch strenger macht.

Hashing von API-Schlüsseln in der Datenbank

API-Schlüssel sind nur bei ihrer Erstellung sichtbar. Danach werden nur die ersten vier Zeichen zur Identifizierung in der Datenbank gespeichert, zusammen mit einem SHA256-Hash des vollständigen Schlüssels. Dies erleichtert die Prüfung der Schlüsselverwendung und stellt sicher, dass Angreifer im Falle eines Datenbanklecks keinen Zugriff auf die Live-Site haben.

Verschieben der Internet Explorer-Unterstützung in das Kern-Plugin

Discourse wird die Unterstützung für Internet Explorer im Juni 2020 einstellen (eine offizielle Ankündigung erfolgt Mitte Januar). Als Vorbereitung darauf wurde der für Internet Explorer spezifische Code in ein Plugin verschoben, was die Entfernung im Juni erleichtert.

Warnung, wenn ein Theme-Komponente installiert, aber keinem Theme hinzugefügt wurde

Beim Erstellen oder Installieren einer Theme-Komponente kann es vorkommen, dass Benutzer vergessen, dass sie diese einem Theme hinzufügen müssen, damit sie aktiv wird. Nur nach der ersten Erstellung/Installation werden Benutzer gewarnt, wenn sie versuchen, von der Theme-Komponente wegzunavigieren, ohne sie zuvor einem Theme hinzugefügt zu haben.

image440×108 8.11 KB

Noch mehr!

Aber warte, es gibt noch mehr! Wir geben unser Bestes, um neue Funktionen und Änderungen für Sie hervorzuheben, aber es gibt immer zu viele Änderungen, um sie im Detail zu beschreiben. Für eine vollständige Liste neuer Funktionen, Fehlerbehebungen, UX-Verbesserungen und mehr lesen Sie unbedingt die unten aufgeführten Zusätzlichen Funktionen und Fehlerbehebungen.

Sicherheitsupdates

Dieses Beta-Release enthält 6 Sicherheitskorrekturen für Probleme, die von unserer Community und HackerOne gemeldet wurden.

• Korrekte Berechtigungsprüfung beim Widerrufen von Benutzer-API-Schlüsseln
• Sicherheitslücke in WildcardUrlChecker
• Upgrade von rack-mini-profiler, um mögliche XSS-Angriffe zu vermeiden
• Entfernen von Event-Handlern aus SVG-Dateien
• Sicherstellen, dass nur Bild-Uploads inline eingebettet werden können
• Aktualisierung von puma von 3.12.1 auf 3.12.2

Plugin-Verbesserungen

BCC

• Fehlerbehebung

Data Explorer

• Zusätzliche Enums hinzufügen
• Anzeige des Info-Popups verbessern

RSS-Polling

• Fehlerbehebungen

Voting

• Fehlerbehebung

Solved

• Fehlerbehebung

Docker Manager

• Sicherheitskorrektur: Aktualisierung der Abhängigkeiten

GitHub

• Fehlerbehebungen

User Notes

• Fehlerbehebung

Group Tracker

• UX-Verbesserungen

Sitemap

• Fehlerbehebung

Policy

• Fehlerbehebungen

Calendar

• Feiertage für die nächsten 6 Monate anzeigen, nicht nur den nächsten Feiertag
• Zeitzonelogik für Ganztags-Events verbessern
• Direkte Antworten auf Beiträge, die automatisch gelöscht wurden, automatisch in den Papierkorb verschieben
• Leistungsverbesserungen
• Fehlerbehebungen

Encrypt

• Fehlerbehebung

Logster

• Unterstützung benutzerdefinierter Gruppierungsmuster
• Fehlerbehebungen

Zusätzliche Funktionen und Fehlerbehebungen

[details=“Zum Erweitern klicken”]

Neue Funktionen

• „Kategorien neu anordnen