Lors de l’affichage d’un utilisateur sur la page admin/utilisateurs, les champs Email principal et Email secondaire sont masqués et nécessitent des permissions pour être consultés :
Mais le même email est affiché sans protection lors de l’utilisation de SSO plus bas sur la page :
Attendu : L’email SSO devrait être protégé comme les emails principal et secondaire.
Réel : L’email SSO n’est pas protégé et reste visible par les modérateurs, même lorsque les paramètres du site interdisent d’afficher les emails aux modérateurs.
Une dernière remarque : j’ai mentionné l’email, mais l’ID externe peut également contenir des informations sensibles.