Nous sommes un groupe strictement privé et nous discutons des mérites des « sponsors », qui ne sont pas autorisés dans le groupe. Nous utilisons l’authentification unique (SSO). Deux de nos utilisateurs ont échangé un message privé, et l’un d’eux a téléchargé un fichier eml (e-mail) dans ce message. Ce fichier eml contenait les adresses e-mail de trois sponsors. Discourse a détecté ces adresses e-mail, a ajouté les sponsors en tant qu’utilisateurs en attente et, bien qu’ils fussent encore en attente, a envoyé par e-mail aux sponsors les publications suivantes du message privé. Cela a évidemment violé notre vie privée.
Pour être juste, j’avais autorisé tous les types de fichiers à télécharger en définissant l’option sur « * ». Par défaut, ils n’auraient pas pu télécharger un fichier eml. Mais qu’en est-il d’un document Word ? Discourse va-t-il l’analyser pour y détecter des adresses e-mail et les ajouter en tant qu’utilisateurs ?
Pour reproduire le problème :
- Commencez un message privé
- Trouvez un ancien e-mail de votre ex
- Téléchargez le fichier eml dans le message privé
- Votre ex devient maintenant un utilisateur en attente
- Continuez le message privé
- Votre ex reçoit des e-mails
