Мы успешно используем Discourse в качестве нашей системы тикетов уже несколько месяцев. Всё шло гладко, но я только что осознал, что упустил проблему с безопасностью, которая скрывалась за неочевидностью, пока не проявилась сейчас.
Всё работало нормально, за исключением того, что мне пришлось добавить trust_level_0 к нашей теме тикета, чтобы обычные пользователи могли создавать темы по электронной почте (для пользователей со статусом «staged» это работает и без этого).
Поскольку сам форум был в основном неактивен, я не заметил до вчерашнего дня, что пользователи с trust level 0, войдя в систему, видят сообщения из нашей категории поддержки, хотя она настроена как приватная тема и должна быть видна только администраторам и нашей группе «support_staff».
Есть ли способ это исправить? Если нет, мне придётся отказаться от всего проекта, так как в тикетах поддержки содержится много личной и конфиденциальной информации.
У нас есть «личные сообщения», но понятия «приватная тема» не существует.
Кстати, то, как вы описываете работу системы, точно соответствует тому, как мы используем сам meta. Письма на наш адрес поддержки поступают в личные сообщения в групповой почтовый ящик — утечки в публичный доступ нет.
Проблема решена. Мы сделали PR в мой мозг, и теперь всё работает.
Я неправильно понял настройку в плагине. Как только меня просветили, всё заработало как положено.
