Einladungs-Einlösung erlaubte Benutzer den Zugriff auf das Forum VOR der Genehmigung

Unser Forum hat diese Einstellungen:

1. login_required AN
2. must_approve_users AN
3. min_trust_level_to_allow_invite 2 : Mitglied

Beim Testen unserer Foreneinladungen habe ich Folgendes bemerkt:

1. Wenn ein TL2-Benutzer einen anderen Benutzer per E-Mail einlädt und
2. Sie auf den Einladungslink in ihrer E-Mail klicken und
3. Sie die Felder ausfüllen und absenden

Dies geschieht → sie werden direkt ins Forum weitergeleitet (als ob sie vorab genehmigt wären) und können es nach Belieben lesen. Sie sollten dies erst tun können, wenn sie genehmigt wurden.

Sie bleiben tatsächlich nicht genehmigt. Wenn sie versuchen, erneut auf die Website zuzugreifen, wird ihnen die Standardmeldung “Sie sind nicht genehmigt” angezeigt.

In der Tat kann ich dies auf 2.8.0.beta10 ( bbca25e875 ) reproduzieren

Ich kann auf meiner Testseite bestätigen (17ec3bc5b9)

• Anmeldung erforderlich
• Benutzer müssen genehmigt werden
• TL2 kann Einladungen senden

Und mein Eingeladener konnte diese ‘Registrierungsbesuch’ sehen und darauf posten, ohne genehmigt zu werden.

Dies ist eine komplizierte Situation.

Wir haben derzeit keine Implementierung für „Warte, bis jemand dein Konto genehmigt“.

Tatsächlich bin ich mir nicht sicher, ob das überhaupt Sinn macht. Warum sollte man jemanden ins Forum einladen, nur damit er dann blockiert wird?

Ich würde sagen, Ihre unmittelbare Übergangslösung ist, Einladungen auf tl2/3 zu deaktivieren … das wird diese Eigenart zumindest abdichten.

Ich schätze, wir sollten, zumindest vorerst, die Einladung für Nicht-Mitarbeiter vollständig deaktivieren, wenn must_approve_users aktiviert ist.

@dan, was denkst du?

Erledigt. Natürlich werden TL4s weiterhin das Problem haben, aber ich habe keine davon, also alles gut!

Das ergibt für mich als dauerhafte Lösung Sinn.
Ich war etwas überrascht, dass meine Kunden andere einladen konnten!

Ich bin hin- und hergerissen, weil ich beide Seiten verstehe. Ich denke jedoch, dass der Status quo ein wenig irreführend ist, da nicht alle Benutzer, die sich anmelden, genehmigt werden müssen.

Bis zu einem gewissen Grad hängt es wohl von der Community ab und davon, wie viel Vertrauen Sie Ihren Benutzern entgegenbringen. Vielleicht kann must_approve_users in Zukunft ein Dropdown sein: nein, ja oder wenn nicht eingeladen.

Ich werde dies auf meine TODO-Liste setzen.

Gelöst über SECURITY: Do not sign in unapproved users (#15552) · discourse/discourse@584c6a2 · GitHub. Danke für den Bericht @nathank!

Dieses Thema wurde nach 31 Stunden automatisch geschlossen. Neue Antworten sind nicht mehr möglich.