Redenção de convite permitiu que o usuário acessasse o fórum ANTES da aprovação

Bug
,
1

Nosso Fórum tem estas configurações:

  1. login_required LIGADO
  2. must_approve_users LIGADO
  3. min_trust_level_to_allow_invite 2 : membro

Ao testar os convites do nosso fórum, notei que:

  1. Quando um usuário TL2 convida outro usuário por e-mail e
  2. Eles clicam no link de convite em seu e-mail e
  3. Eles preenchem os campos e o enviam

Isso acontece → eles são levados diretamente para o Fórum (como se fossem pré-aprovados) e podem lê-lo à vontade. Eles não deveriam poder fazer isso até serem aprovados.

Eles de fato permanecem não aprovados. Se eles tentarem acessar o site novamente, eles são impedidos com a mensagem padrão “você não está aprovado”.

5 curtidas
2

De fato, consigo reproduzir isso na versão 2.8.0.beta10 ( bbca25e875 )

3 curtidas
4

Posso confirmar no meu site de teste (17ec3bc5b9)

  • Login obrigatório
  • Usuários devem ser aprovados
  • TL2 pode enviar convites

E meu convidado pôde visualizar e postar nessa ‘visita de inscrição’ sem ser aprovado.

3 curtidas
5

Esta é uma situação complicada.

Não temos nenhuma implementação no momento para “Aguente firme, até que alguém aprove sua conta”.

Na verdade, não tenho certeza se isso faz sentido, por que você convidaria alguém para o fórum apenas para que ele fosse bloqueado.

Eu diria que sua solução alternativa imediata é desabilitar convites em tl2/3 … isso pelo menos fechará essa peculiaridade.

Acho que deveríamos, pelo menos provisoriamente, desabilitar completamente os convites para não funcionários quando must_approve_users estiver ATIVADO.

@dan, o que você acha?

9 curtidas
6

Feito. Claro, os TL4 ainda terão o problema, é claro, mas na verdade não tenho nenhum deles, então tudo bem!

Isso faz sentido para mim como uma solução permanente.

Fiquei um pouco surpreso que meus clientes podiam convidar outros!

6 curtidas
7

Estou dividido quanto a isso porque entendo ambos os lados. No entanto, estou pensando que o status quo é um pouco enganoso porque nem todos os usuários que se inscrevem precisam ser aprovados.

Até certo ponto, acho que depende da comunidade e de quanta confiança você deposita em seus usuários. Talvez no futuro must_approve_users possa ser um menu suspenso: não, sim ou se não for convidado.

Vou colocar isso na minha lista de TODO.

6 curtidas
17

Resolvido via SECURITY: Do not sign in unapproved users (#15552) · discourse/discourse@584c6a2 · GitHub. Obrigado pelo relatório @nathank!

6 curtidas
19

Este tópico foi automaticamente fechado após 31 horas. Novas respostas não são mais permitidas.