Nous utilisons Discourse avec succès comme système de billetterie depuis plusieurs mois maintenant. Tout se passe bien, mais je viens de réaliser qu’il y a un problème de sécurité que j’avais négligé, car il était caché par l’obscurité jusqu’à présent.
Tout fonctionne correctement, à l’exception du fait que j’ai dû ajouter trust_level_0 à notre sujet de ticket afin que les utilisateurs ordinaires puissent créer des sujets par e-mail (cela fonctionne bien sans cela pour les utilisateurs en mode test).
Comme le forum était principalement inactif, je n’ai remarqué que hier que lorsque les utilisateurs avec le niveau de confiance 0 se connectent, ils peuvent voir les publications de notre catégorie de support, même si elle est configurée comme un sujet privé et censée être visible uniquement par les administrateurs et notre groupe ‘support_staff’.
Y a-t-il un moyen de corriger cela ? Si non, je vais devoir abandonner tout ce projet, car nous avons beaucoup d’informations personnelles et sensibles dans les tickets de support.
Pourriez-vous s’il vous plaît me partager l’URL de votre forum par message privé, ainsi qu’une capture d’écran de l’onglet Sécurité de cette catégorie ?
Nous avons des « messages personnels », mais il n’existe pas de concept de « sujet privé ».
D’ailleurs, la façon dont vous décrivez le fonctionnement correspond exactement à notre utilisation de Meta elle-même. Les e-mails envoyés à notre adresse de support arrivent dans les messages personnels d’une boîte de réception de groupe ; il n’y a aucune fuite vers le public.
Je pense que vous avez mal configuré les paramètres.
Problème résolu. J’ai fait une mise à jour de mon cerveau et maintenant tout fonctionne. J’avais mal compris un paramètre dans les réglages du plugin. Une fois que j’ai été éclairé, tout fonctionne comme il se doit.
