シングルサインオン管理ページでユーザーのメールアドレスが表示されない

Karl_Romanowski · 2020 年 8 月 12 日午後 5:58

admin/users ページでユーザーを表示すると、プライマリメールとセカンダリメールのフィールドは非表示になっており、表示には権限が必要です。

しかし、同じメールがページの下の方で SSO を使用すると保護されずに表示されます。

期待される動作：SSO メールもプライマリメールおよびセカンダリメールと同様に保護されること。

実際の動作：SSO メールは保護されておらず、サイト設定でモデレーターへのメール表示が禁止されている場合でも、モデレーターに可視となっています。

追加のコメントですが、メールだけでなく、外部 ID も機密情報になり得る点に言及しておきます。

simon · 2020 年 8 月 12 日午後 11:52

これがバグに該当するかどうかはわかりませんが、対処すべき問題であることは間違いありません。

techAPJ · 2020 年 11 月 10 日午後 7:13

以下の通り修正済みです：

techAPJ · 2021 年 2 月 17 日午後 4:45

@anon60302432 さんにより指摘された通り、SSO ペイロードにはメールアドレスも含まれるため、以下のコミットにより、ペイロードをボタンクリックで表示させるように変更しました。

トピック		返信	表示
Moderators should not see emails in SSO section UX	12	1705	2020 年 11 月 12 日
SSO payload can be seen be moderators again? Support	9	1096	2021 年 2 月 15 日
Can no longer view users emails as a moderator Support	6	1192	2018 年 7 月 28 日
Email security/obscurity for moderators is inconsistent Bug	15	3016	2015 年 9 月 29 日
Moderators ability to see emails inconsistent Bug	3	1326	2016 年 3 月 13 日