Invite redemption ha permesso all'utente di accedere al forum prima dell'approvazione

nathank · 10 Gennaio 2022, 2:25am

Il nostro Forum ha queste impostazioni:

login_required ON
must_approve_users ON
min_trust_level_to_allow_invite 2 : member

Quando testiamo gli inviti al nostro forum, ho notato che:

Quando un utente TL2 invita un altro utente via email e
Cliccano sul link di invito nella loro email e
Compilano i campi e lo inviano

Questo accade → vengono portati direttamente nel Forum (come se fossero pre-approvati) e possono leggerlo a piacimento. Non dovrebbero essere in grado di farlo finché non vengono approvati.

Effettivamente rimangono non approvati. Se provano ad accedere nuovamente al sito, vengono bloccati con il messaggio standard “non sei approvato”.

Benjamin_D · 10 Gennaio 2022, 7:50am

In effetti, posso riprodurlo su 2.8.0.beta10 ( bbca25e875 )

JammyDodger · 10 Gennaio 2022, 8:53am

Posso confermare sul mio sito di test (17ec3bc5b9)

È necessario accedere
Gli utenti devono essere approvati
TL2 può inviare inviti

E il mio invitato ha potuto visualizzare e pubblicare su quella ‘visita di iscrizione’ senza essere approvato.

sam · 11 Gennaio 2022, 5:42am

Questa è una situazione complicata.

Al momento non abbiamo un’implementazione per “Tieni duro, finché qualcuno non approva il tuo account”.

Infatti, non sono sicuro che abbia senso, perché dovresti invitare qualcuno nel forum solo per farlo bloccare.

Direi che la tua soluzione immediata è disabilitare gli inviti su tl2/3… questo almeno chiuderà questa stranezza.

Suppongo che dovremmo, almeno nel frattempo, disabilitare completamente gli inviti per non staff quando must_approve_users è ATTIVO.

@dan cosa ne pensi?

nathank · 11 Gennaio 2022, 8:44am

Fatto. Ovviamente, i TL4 avranno ancora il problema, ma in realtà non ne ho nessuno, quindi tutto a posto!

Questo ha senso per me come soluzione permanente.

Sono rimasto un po’ sorpreso che i miei clienti potessero invitare altri!

dan · 12 Gennaio 2022, 7:09am

Sono combattuto su questo perché capisco entrambe le parti. Tuttavia, penso che lo status quo sia un po’ fuorviante perché non tutti gli utenti che si registrano devono essere approvati.

In una certa misura, immagino dipenda dalla community e da quanta fiducia riponi nei tuoi utenti. Forse in futuro must_approve_users potrà essere un menu a tendina: no, sì o se non invitato.

Lo aggiungerò alla mia lista di cose da fare.

jomaxro · 13 Gennaio 2022, 4:31pm

Risolto tramite SECURITY: Do not sign in unapproved users (#15552) · discourse/discourse@584c6a2 · GitHub. Grazie per la segnalazione @nathank!

david · 15 Gennaio 2022, 8:00am

Questo argomento è stato chiuso automaticamente dopo 31 ore. Non sono più consentite nuove risposte.

Argomento		Risposte	Visualizzazioni
Allow users invited by staff to skip approval Feature invites	21	2150	Aprile 12, 2023
Invite-only Forum - Can non staff members invite others? Support invites	17	4317	Gennaio 11, 2024
Why do I need to still approve users that I have invited? Support invites	4	670	Luglio 7, 2022
Only admin has the invite button on approval required site Support invites	10	1363	Luglio 18, 2024
Trusted users cannot invite when must approve users admin setting enabled Support	10	935	Giugno 17, 2021

Invite redemption ha permesso all'utente di accedere al forum prima dell'approvazione

Argomenti correlati