البريد الإلكتروني للمستخدم غير مخفي في منطقة تسجيل الدخول الموحد بصفحة المسؤول

Karl_Romanowski · 12 أغسطس 2020، 5:58م

عند عرض مستخدم في صفحة admin/users، يتم إخفاء حقلي البريد الإلكتروني الأساسي والبريد الإلكتروني الثانوي، ويتطلبان أذونات معينة لعرضها:

ولكن نفس البريد الإلكتروني يُعرض دون حماية عند استخدام SSO في الأسفل من الصفحة:

التوقع: يجب أن يكون بريد SSO الإلكتروني محميًا مثل البريد الإلكتروني الأساسي والثانوي.

الواقع: بريد SSO الإلكتروني غير محمي، ويمكن للمشرفين رؤيته حتى لو كانت إعدادات الموقع تمنع عرض البريد الإلكتروني للمشرفين.

ملاحظة إضافية: لقد ذكرت البريد الإلكتروني، لكن في الواقع حتى المعرف الخارجي (External ID) قد يكون معلومات حساسة أيضًا.

simon · 12 أغسطس 2020، 11:52م

لست متأكدًا مما إذا كان هذا يُصنف كخطأ برمجي، لكنه بالتأكيد مشكلة يجب معالجتها.

techAPJ · 10 نوفمبر 2020، 7:13م

تم الإصلاح عبر:

techAPJ · 17 فبراير 2021، 4:45م

@anon60302432 أشار إلى انتباهنا إلى أن حمولة SSO تتضمن البريد الإلكتروني أيضًا، لذا قمنا بإخفاء الحمولة خلف نقر زر، عبر:

الموضوع		الردود	مرات العرض
Moderators should not see emails in SSO section UX	12	1705	12 نوفمبر 2020
SSO payload can be seen be moderators again? Support	9	1096	15 فبراير 2021
Can no longer view users emails as a moderator Support	6	1192	28 يوليو 2018
Email security/obscurity for moderators is inconsistent Bug	15	3016	29 سبتمبر 2015
Moderators ability to see emails inconsistent Bug	3	1326	13 مارس 2016