A very good point. And good to hear “out loud”. This is the right way for me to be thinking about confidentiality and privacy.
5 Me gusta
I have used private categories with “less private” subcategories, so that a group can work in their space and publish things to a larger public. I guess this line of work will become obsolete by this change. So I should let users know that when they want to publish something, they need to move it to another, more public category. But then, how do they find their common work on this? I suppose they need to maintain a “publications” topic where they link the ‘more public’ topics. Any thoughts?
1 me gusta
I am reviewing FIX: validate parent category/subcategories permissions by majakomel · Pull Request #6877 · discourse/discourse · GitHub by @maja.
The particular condition we are protecting against is:
- category (authors: read)
- subcategory (pilots: read)
What this means is that pilots are not allowed to see anything in the category yet have been granted permissions in the subcategory so something is fishy 
The condition:
- category (authors: read)
- subcategory (pilots: read, authors: write)
Is still 
after this new validation.
The tricky thing though 
is that we no longer will allow:
- category (trust_level_3: read)
- subcategory (trust_level_4: write)
This particular edge case gives me pause, there is an easy enough work around … you would have to explicitly change
- category (trust_level_3: read, trust_level_4: read)
Given the OP is in a pretty bad state I say we see how the new restriction shakes up. FYI @HAWK @jomaxro
10 Me gusta
@sam Veo que el PR ya se fusionó, pero no estoy seguro de que la funcionalidad de herencia se refleje en nuestra instalación de Discourse v2.4.0.beta2 +183.
Nos sorprendió bastante al darnos cuenta de que todo el contenido que pensábamos que era privado en las subcategorías estaba instantáneamente disponible para el público no autenticado a través de latest.
Dado que tenemos casi 10 categorías, cada una con numerosas subcategorías, sería muy engorroso tener que configurar manualmente los permisos para cada una.
1 me gusta
@sam Parece que ahora funciona, pero parece que queda un caso límite (que nos complicó un poco las cosas hoy 
)
Es posible eliminar todos los permisos en la pestaña de Seguridad al crear la subcategoría, y luego la subcategoría (por ejemplo, de la categoría de personal) se creará correctamente y será visible para todos.
¿Hay alguna forma de cambiar el permiso de las categorías y que todas las subcategorías hereden ese nuevo permiso?