在我的 Discourse 安装中,许多主题的 URL 不再自动转换为以主题标题显示的链接。我认为这种行为可能始于我不得不将所有类别设为私有时(参见 https://meta.discourse.org/t/staged-users-getting-user-linked-emails/145202/4)。然而,我的所有类别都设置了相同的权限,限制为同一用户组(信任等级 1),因此在显示主题标题时不存在安全问题。
仍然能正常工作的主题集合似乎是随机的;我目前尚未发现任何规律。
我的版本是 2.5.0.beta2(eda8f319a2)。
我认为你说得对。如果系统将这些标题提取到帖子中,就会泄露你私密主题的标题。
请将某个分类改为允许所有人阅读,看看问题是否仍然存在。
是的,这“解决”了问题。但这对我来说不是一个可行的方案,因为这会导致再次向用户发送 user_linked 邮件。
不过,我仍然认为这是一个漏洞。即使是同一类别内的主题链接也未被转换。理想情况下,对于具有相同(甚至兼容)权限配置的类别,该功能也应生效。
嗯,这由不得我来决定,但
你并未受到正常使用的影响。链接仍然有效,只是其中没有包含标题,而且从 URL 的 slug 部分也能很清楚地看出标题,不是吗?
按照这个定义,移除 Discourse 的所有 CSS 样式也不能算作是 bug。但我相信您也会同意,那样的体验会相当不舒服 
如果这听起来像是在要求修复,我深表歉意。对于开源项目,我只是尽量提供详细的 bug 报告,从不指望一定能得到修复。如何处理它,由维护者决定。
别介意!也许那些对“什么是漏洞”有决定权的人会采纳你的观点。
安全措施确实挺烦人的。如果有人在一个安全分类下创建了主题,然后把它移到了公开分类,那主题标题岂不是对所有人可见了!
这听起来不像是个 bug。据我所知,过去给出的指导基本上就是 Jay 上面的回复。不过,还是需要团队成员介入确认或纠正。
鱼与熊掌不可兼得。你要么将分类设为公开,要么就得应对在安全分类中链接话题所带来的隐私问题。请自行抉择。