لقد استخدمنا Discourse بنجاح كنظام لإدارة التذاكر لعدة أشهر. سار كل شيء بسلاسة، لكنني أدركت للتو وجود ثغرة أمنية أغفلتها لأنها كانت مخفية بسبب غموضها حتى الآن.
كل شيء يسير على ما يرام، باستثناء أنني اضطررت إلى إضافة trust_level_0 إلى موضوع التذكرة الخاص بنا لتمكين المستخدمين العاديين من إنشاء مواضيع عبر البريد الإلكتروني (يعمل بشكل جيد بدون ذلك للمستخدمين في مرحلة الاختبار).
وبما أن المنتدى نفسه كان شبه ميت، لم ألاحظ حتى أمس فقط أنه عندما يسجل المستخدمون ذوو مستوى الثقة 0 الدخول، يمكنهم رؤية منشورات من فئة الدعم لدينا، رغم أنها مُعدة كموضوع خاص ومن المفترض أن تكون مرئية فقط للمسؤولين ومجموعة ‘support_staff’ لدينا.
هل هناك طريقة لحل هذه المشكلة؟ إذا لم يكن الأمر كذلك، فسأضطر إلى التخلي عن هذا المشروع بالكامل، حيث تحتوي تذاكر الدعم لدينا على الكثير من المعلومات الشخصية والحساسة.
لدينا “رسائل شخصية” لكن لا يوجد مفهوم يُسمى “موضوع خاص”.
بالمناسبة، الطريقة التي تصف بها عمل الأشياء هي بالضبط الطريقة التي نستخدم بها ميتا نفسها. تصل رسائل البريد الإلكتروني المرسلة إلى عنوان الدعم لدينا كرسائل شخصية في صندوق بريد جماعي — ولا يوجد تسرب للجمهور.
تم حل المشكلة. قمنا بإجراء طلب دمج (PR) على عقلي والآن يعمل كل شيء بشكل صحيح.
سوء فهمت إعدادًا في إعدادات الإضافة. بمجرد أن تم تصحيح فهمي، يعمل كل شيء كما ينبغي.
