Temos usado o Discourse com sucesso como nosso sistema de tickets há vários meses. Tudo tem funcionado bem, mas acabei de perceber que há um problema de segurança que eu havia negligenciado, pois estava oculto pela obscuridade até agora.
Tudo tem corrido bem, exceto pelo fato de que precisei adicionar o trust_level_0 ao tópico de nossos tickets para que usuários comuns pudessem criar tópicos por e-mail (funciona perfeitamente sem isso para usuários em staging).
Como o fórum em si estava praticamente inativo, não percebi até ontem que, quando usuários com trust level 0 fazem login, eles conseguem ver postagens da nossa categoria de suporte, mesmo que ela esteja configurada como um tópico privado e deva ser visível apenas para administradores e nosso grupo ‘support_staff’.
Existe alguma maneira de corrigir isso? Se não, terei que abandonar todo esse projeto, pois temos muitas informações pessoais e sensíveis nos tickets de suporte.
Poderia, por favor, enviar-me o URL do seu fórum em uma mensagem privada, juntamente com uma captura de tela da aba Categoria → Segurança dessa categoria?
Temos “mensagens pessoais”, mas não existe o conceito de “tópico privado”.
A propósito, a forma como você descreve o funcionamento é exatamente como usamos o meta nós mesmos. E-mails enviados para nosso endereço de suporte chegam como mensagens pessoais em uma caixa de entrada de grupo — não há vazamento para o público.
Acho que você configurou as coisas de forma errada.
Problema resolvido. Fizemos um PR no meu cérebro e agora tudo está funcionando.
Eu havia entendido mal uma configuração nas opções do plugin. Depois que fui esclarecido, tudo funciona como deveria.
