你好!我是 Discourse 实例的管理员,我注意到自己多次错误地配置了分类权限(无意中将其设置得过于宽松)。
我想在此详细说明一下,以了解这仅仅是我个人的问题,还是其他人也遇到过类似情况。如果是后者,有什么解决办法吗?
注意: 如果这不是多次发生在我身上(总共 4 次),并且每次发生都让我印象深刻,我本不会太关注这个问题。
问题描述
创建新分类时,默认会包含 everyone 组,并赋予 创建/回复/查看 权限。
出于某种原因,当我犯这个错误时,我会先点击下拉菜单选择希望访问该分类的组,然后设置权限。但我忘记点击 + 按钮,再点击 x 按钮来删除 everyone 的权限。
安全影响
有人可能会认为,这种错误的影响不大,因为此时分类刚刚创建,尚未包含实际内容。但在某些情况下,仅仅让用户知道某个(即将公布的)分类的存在,就可能泄露惊喜或暴露仍处于草稿阶段的未来计划。
