当社のフォーラムには以下の設定があります。
フォーラムの招待をテストしたところ、以下のことに気づきました。
これは、あたかも事前承認されたかのように、フォーラムに直接移動し、自由に閲覧できるようになります。承認されるまで、これを行うことはできません。
実際、彼らは未承認のままです。再度サイトにアクセスしようとすると、「承認されていません」という標準メッセージが表示されてアクセスを拒否されます。
はい、2.8.0.beta10(bbca25e875)で再現できます。
テストサイト (17ec3bc5b9) で確認できます。
そして、招待されたユーザーは承認されなくても「サインアップ訪問」を表示して投稿できました。
これは複雑な状況です。
現在、「アカウントが承認されるまでお待ちください」という実装はありません。
実際、フォーラムに招待しておきながらブロックするというのが理にかなっているのかどうかさえわかりません。
当面の回避策としては、tl2/3 で招待を無効にすることです。これにより、少なくともこの奇妙な挙動は封じることができます。
少なくとも当面の間は、must_approve_users が ON の場合に、スタッフ以外の招待を完全に無効にすべきだと思います。
@dan さん、どう思いますか?
対応しました。もちろん、TL4については引き続き問題が発生しますが、私にはTL4ユーザーがいないため、問題ありません!
恒久的な解決策として、それは理にかなっていると思います。
私の利用者が他の人を招待できることに、少し驚きました!
どちらの言い分も理解できるため、この件については迷っています。しかし、すべてのユーザーが承認されなければならないわけではないため、現状維持は少し誤解を招くものだと考えています。
ある程度は、コミュニティとユーザーをどれだけ信頼するかによると思います。将来的には、must_approve_users がドロップダウンになるかもしれません:いいえ、はい、または招待されていない場合。
これを私のTODOリストに追加します。
SECURITY: Do not sign in unapproved users (#15552) · discourse/discourse@584c6a2 · GitHub にて解決済みです。ご報告ありがとうございます、@nathank さん!
このトピックは31時間後に自動的に閉じられました。返信はもうできません。