Wir nutzen Discourse seit mehreren Monaten erfolgreich als unser Ticketsystem. Alles lief reibungslos, doch mir ist gerade aufgefallen, dass ich ein Sicherheitsproblem übersehen habe, das bisher nur durch Undurchsichtigkeit verborgen war.
Im Großen und Ganzen läuft alles gut, mit einer Ausnahme: Ich musste dem Ticket-Thema die Vertrauensstufe 0 (trust_level_0) hinzufügen, damit reguläre Benutzer Themen per E-Mail erstellen können (für gestaffelte Benutzer funktioniert dies ohne diese Einstellung einwandfrei).
Da das Forum selbst größtenteils inaktiv war, ist mir erst gestern aufgefallen, dass Benutzer mit der Vertrauensstufe 0 beim Einloggen Beiträge aus unserer Support-Kategorie sehen können, obwohl diese als privates Thema konfiguriert ist und nur für Administratoren und unsere Gruppe ‘support_staff’ sichtbar sein sollte.
Gibt es eine Möglichkeit, dies zu beheben? Falls nicht, muss ich das gesamte Projekt verwerfen, da sich in den Support-Tickets viele persönliche und sensible Informationen befinden.
Könntest du mir bitte deine Forum-URL in einer privaten Nachricht senden, zusammen mit einem Screenshot des Reiters Kategorie > Sicherheit dieser Kategorie?
Wir haben „Private Nachrichten", aber den Begriff „privates Thema" gibt es nicht.
Übrigens: So beschreibst du die Funktionsweise, genau so nutzen wir auch Meta selbst. E-Mails an unsere Support-Adresse landen in einem Gruppenpostfach als Private Nachrichten – es gibt keine Weitergabe an die Öffentlichkeit.
Das Problem ist gelöst. Ich habe eine PR in meinem Gehirn durchgeführt, und jetzt funktioniert alles. Ich habe eine Einstellung im Plugin-Settings missverstanden. Sobald ich aufgeklärt wurde, funktioniert alles, wie es soll.
