Tenemos algunos grupos donde establecí la visibilidad de los miembros solo para los miembros del grupo. Por lo tanto, un usuario normal no puede ver los miembros y eso funciona en la página del grupo:
Pero luego, en la página de Usuarios, el mismo usuario normal puede filtrar por el grupo y obtener una lista de todos sus miembros.
Me hago pasar por un usuario normal con nivel de confianza 0 y obtengo la lista en la página de usuarios. No estoy seguro de cómo puedo o debo intentar depurar esto más a fondo.
Creo que lo que está sucediendo es solo un problema de interfaz de usuario. Cuando cambias a un grupo, ocurre un error oculto, por lo que la interfaz de usuario mantiene los datos de la lista anterior. Los usuarios que se muestran no son realmente miembros del grupo privado.
Si visitas este enlace directamente: https://meta.discourse.org/u?group=testgroup entonces la lista está vacía. Si cambias a ‘team’ y luego vuelves a ‘testgroup’, la lista de miembros de ‘team’ permanece.
Así que definitivamente hay un error, pero en realidad no revela ninguna información sensible. ¿Coincide eso con lo que estás viendo?
Sí, ¡eso es lo que obtengo también! En realidad, no son los miembros del grupo y, una vez que recargo la página manualmente, obtengo “No se encontraron resultados”.
Entonces, ¿debería deshabilitar componentes y partes del código del tema para intentar encontrar qué podría causar eso?