Creo que esta es una gran idea. Para muchos tipos de foros, indicar que algo existe no es una vulnerabilidad de seguridad y mejoraría realmente la accesibilidad.
El desafío aquí es realmente nombrar adecuadamente la configuración del sitio y explicar qué hace. He hecho lo mejor posible a continuación, pero no me opondría a ediciones.
Aquí hay una mini especificación:
-
Agregar una nueva configuración del sitio
detailed_404, con valor predeterminadofalse. “Proporciona más detalles a los usuarios sobre por qué no pueden acceder a un tema en particular. NOTA: Esto es menos seguro porque los usuarios sabrán si una URL tiene un tema válido o no.” -
Cuando esté habilitado, en el controlador de temas, si falla la verificación del guardián, devolver un objeto JSON con detalles sobre por qué falló.
-
En la aplicación del front end, utilizar estos detalles para mostrar un mensaje de error apropiado:
-
Si es anónimo: “Lo sentimos, necesitarás iniciar sesión para ver ese tema”
-
Si ha iniciado sesión:
-
Si el tema está restringido a un solo grupo (excluyendo grupos de personal): “Este tema está restringido a GRUPO_NOMBRE.” e incluir el botón Solicitar acceso.
-
Si el tema está restringido a muchos grupos, mostrar un mensaje genérico: “No tienes acceso a este tema. Por favor, contacta a quien te proporcionó el enlace para solicitar acceso.”
-
-