tknospdr
(David Muszynski)
1
Discourse をチケット管理システムとして数ヶ月間利用していますが、これまで問題なく運用できていました。しかし、今になって見落としがあったセキュリティ上の問題に気づきました。これは、これまで隠蔽によって見過ごされていましたが、今となっては明らかになりました。
基本的には問題なく動作していますが、通常のユーザーがメールを通じてトピックを作成できるようにするためには、チケットトピックに trust_level_0 を追加する必要がありました(ステージングユーザーの場合は、これを追加しなくても正常に動作します)。
フォーラム自体がほとんど活動していなかったため、昨日まで気づきませんでしたが、trust_level 0 のユーザーがログインすると、サポートカテゴリの投稿が見えてしまいます。このカテゴリはプライベートトピックとして設定されており、管理者と「support_staff」グループのみに表示されるはずでした。
この問題を解決する方法はありますか?もし解決できない場合、サポートチケットには多くの個人情報や機密情報が含まれているため、このプロジェクト全体を中止せざるを得ません。
よろしくお願いいたします。
David
「いいね!」 3
RGJ
(Richard - Communiteq)
2
「いいね!」 3
tknospdr
(David Muszynski)
3
それを使っているのですが、うまくいかないようです。
RGJ
(Richard - Communiteq)
4
フォラムのURLをPMで共有していただき、そのカテゴリの「カテゴリ」→「セキュリティ」タブのスクリーンショットも併せてお送りいただけますでしょうか。
「いいね!」 3
「非公開トピック」とは具体的に何を指していますか?
「個人メッセージ」は存在しますが、「非公開トピック」という概念はありません。
ちなみに、あなたが説明されている動作は、私たちが Meta 自体で運用している方法と完全に一致しています。サポート宛てのメールは、グループの受信トレイにある個人メッセージに届きます。一般への漏洩は起こりません。
設定が間違っていると思われます。
「いいね!」 1
tknospdr
(David Muszynski)
6
少し上に遜って確認してください。「Private Topics」という名前のプラグインが実際に存在し、私が使用しているのもそれです。
あ、わかりました。その情報を OP に追加してください。
tknospdr
(David Muszynski)
10
問題は解決しました。私の脳にプルリクエストを送り、これですべて正常に動作しています。
プラグインの設定で何かを誤解していました。教えていただいたおかげで、すべてが本来の通り動くようになりました。
ありがとう!
「いいね!」 2
このトピックが将来の読者にとって役立つものにするには、何が混同されたのかを説明する必要があります。
現在の詳細情報では、「何かが間違っていたが、現在は修正された」ということしかわかりません。
「いいね!」 7
RGJ
(Richard - Communiteq)
12
プライベートトピックプラグインがインストールされました。
以下の2つの事象が発生していました:
- すべてのトピックが、個々のユーザーではなく
support_staff グループによって作成されていました。
- 「許可されているプライベートトピックのグループ」設定(これらのグループのメンバーが開始したトピックを常に表示する)に
support_staff グループが含まれていました。
その結果、すべての TL0 ユーザーに対してすべてのトピックが表示されていました。
support_staff を「許可されているプライベートトピックのグループ」から削除したところ、意図した通りに動作するようになりました。
「いいね!」 8
