Saluti caro team di Discourse e utenti del forum! Ho recentemente installato questo plugin per i template nella composer e lo sto testando attivamente in questi giorni.
Oggi ho scoperto che viola la privacy degli argomenti nascosti forniti dal plugin Category Lockdown
Se un utente ha accesso a una categoria ma non può visualizzare gli argomenti in quella categoria, può facilmente aggirare queste restrizioni utilizzando la funzione di inserimento del template nell’editor dei post. Dove tutti gli argomenti nascosti sono presentati come template. Il fatto è che sul mio sito, in certe categorie, ogni tema è un template a cui un gruppo selezionato di utenti ha accesso. Sebbene questi temi template siano nascosti agli utenti generici, le categorie di questi temi non sono nascoste poiché stiamo cercando di promuovere questi template utilizzando il plugin Category Lockdown.
Ecco il video report.
Per questo video, ho effettuato l’accesso al forum come utente normale, che non ha accesso all’argomento nascosto. Ma come puoi vedere, l’utente ha facilmente aggirato la restrizione e ha visto il contenuto dell’argomento.