Мы являемся строго частной группой, и мы обсуждаем достоинства «спонсоров», которые не допускаются в группу. Мы используем SSO. Два наших пользователя обменялись личным сообщением, и один из них загрузил файл eml (электронная почта) в это сообщение. Файл eml содержал адреса электронной почты трёх спонсоров. Discourse обнаружил эти адреса, добавил спонсоров как подготовленных пользователей и, даже несмотря на то, что они всё ещё находились в статусе «подготовленные», отправил спонсорам последующие сообщения из личного чата по электронной почте. Очевидно, что это нарушило нашу конфиденциальность.
Честно говоря, я разрешил загружать файлы любого типа, установив значение «*» (разрешить все загрузки). По умолчанию загрузка файла eml была бы невозможна. Но что насчёт документа Word? Будет ли Discourse сканировать его на наличие адресов электронной почты и добавлять их как пользователей?
Для воспроизведения:
- Начните личное сообщение
- Найдите старое письмо от вашего бывшего партнёра
- Загрузите файл eml в это сообщение
- Ваш бывший партнёр теперь стал подготовленным пользователем
- Продолжите переписку в личном сообщении
- Ваш бывший партнёр получит письма
