我们已经成功将 Discourse 用作工单系统数月之久。一切运行顺利,但我刚刚意识到一个安全漏洞,此前因隐蔽性而被我忽略,直到今天才被发现。
除了一点例外,其他一切正常:为了让普通用户能够通过电子邮件创建主题,我不得不将 trust_level_0 添加到我们的工单主题中(对于处于测试阶段的用户,无需此设置也能正常工作)。
由于论坛本身长期处于沉寂状态,直到昨天我才发现:当信任等级为 0 的用户登录时,他们可以看到我们支持分类下的帖子,即使该分类已设置为私密主题,理论上应仅对管理员和我们的“support_staff”群组可见。
请问有办法修复这个问题吗?如果无法解决,我们可能不得不放弃整个项目,因为我们的支持工单中包含大量个人敏感信息。
谢谢!
David
这正是我们开发 Private Topics Plugin 的原因
我正在使用它,但似乎不起作用。
能否请您通过私信将您的论坛网址发送给我,并附上该分类下“分类”->“安全”选项卡的截图?
你说的“私密主题”是什么意思?
我们有“私信”,但没有“私密主题”这一概念。
顺便提一下,你描述的功能与我们在 meta 论坛上的使用方式完全一致。发送到我们支持邮箱的邮件会进入群组收件箱中的私信,不会泄露给公众。
我认为你的设置有问题。
请向上翻阅,有一个插件字面就叫“私密话题”,我用的就是这个。
啊,好的,你应该把那条信息添加到主帖里。
问题已解决。我对大脑进行了一次拉取请求(PR),现在一切正常了。我之前误解了插件中的一个设置。在得到指导后,一切都能正常运行了。
谢谢!
