Penso che sia un’ottima idea. Per molti tipi di forum, indicare che qualcosa esiste non rappresenta una vulnerabilità di sicurezza e migliorerebbe notevolmente l’accessibilità.
La sfida qui è davvero dare il nome giusto all’impostazione del sito e spiegare cosa fa. Ho fatto del mio meglio qui sotto, ma sono aperto a modifiche.
Ecco una mini specifica:
-
Aggiungi una nuova impostazione del sito
detailed_404, con valore predefinitofalse. “Fornisce agli utenti maggiori dettagli sul motivo per cui non possono accedere a un determinato argomento. NOTA: Questo è meno sicuro perché gli utenti sapranno se un URL contiene un argomento valido o meno.” -
Quando abilitata, nel controller degli argomenti, se il controllo del guardian fallisce, restituisci un oggetto JSON con i dettagli sul motivo del fallimento.
-
Nell’applicazione front-end, utilizza questi dettagli per visualizzare un messaggio di errore appropriato:
-
Se anonimo: “Spiacenti, devi accedere per visualizzare quell’argomento”
-
Se connesso:
-
Se l’argomento è riservato a un solo gruppo (esclusi i gruppi dello staff): “Questo argomento è riservato a GROUP_NAME.” e includi il pulsante Richiedi Accesso.
-
Se l’argomento è riservato a molti gruppi, visualizza un messaggio generico: “Non hai accesso a questo argomento. Contatta chi ti ha fornito il link per richiedere l’accesso.”
-
-