El correo electrónico del usuario no está oculto en el área de Single Sign On de la página de administración.

Karl_Romanowski · 12 Agosto, 2020 17:58

Al ver un Usuario en la página admin/users, los campos Correo Electrónico Principal y Correo Electrónico Secundario están ocultos y requieren permisos para ser visualizados:

Sin embargo, el mismo correo electrónico se muestra sin protección al utilizar SSO más abajo en la página:

Esperado: El correo electrónico de SSO debe estar protegido como los correos electrónicos Principal y Secundario.

Realidad: El correo electrónico de SSO no está protegido y es visible para los moderadores, incluso cuando la configuración del sitio prohíbe mostrar correos electrónicos a los moderadores.

Un comentario adicional: mencioné el correo electrónico, pero en realidad incluso el ID Externo puede ser información sensible.

simon · 12 Agosto, 2020 23:52

No estoy seguro de si esto califica como un error, pero definitivamente es un problema que debe ser abordado.

techAPJ · 10 Noviembre, 2020 19:13

Corregido a través de:

techAPJ · 17 Febrero, 2021 16:45

@anon60302432 nos ha hecho notar que la carga útil de SSO también incluye el correo electrónico, por lo que también hemos ocultado la carga útil tras un clic en un botón, mediante:

Tema		Respuestas	Vistas
Moderators should not see emails in SSO section UX	12	1705	12 Noviembre 2020
SSO payload can be seen be moderators again? Support	9	1096	15 Febrero 2021
Can no longer view users emails as a moderator Support	6	1192	28 Julio 2018
Email security/obscurity for moderators is inconsistent Bug	15	3016	29 Septiembre 2015
Moderators ability to see emails inconsistent Bug	3	1326	13 Marzo 2016

El correo electrónico del usuario no está oculto en el área de Single Sign On de la página de administración.

Temas relacionados