Gli utenti possono modificare il titolo degli argomenti contrassegnati quando non dovrebbero riuscirci

1. Argomento segnalato

Un argomento viene segnalato come “qualcos’altro”, che qui abbiamo rinominato come “questo argomento contiene qualcosa che non dovrebbe”.

2. Moderatore nasconde il post

3. Post nascosto

Il post è nascosto e non può essere modificato: il timeout è stato impostato a 525600 minuti


Il che va bene, a meno che non modifichino il titolo:

confidentiality_bug

questo non è un bug. è stato progettato per essere così.

Se leggi la descrizione di nascondi post, vedrai che viene inviato un messaggio all’utente per modificare il post.
Il moderatore dovrebbe scegliere Accetta > Mantieni post o Elimina post

Posso replicare questo.

Modificare il titolo di un OP nascosto aggira il periodo di raffreddamento di 10 minuti per la modifica.

  • L’utente di test TL0 crea un argomento inappropriato
  • L’OP viene segnalato e quindi nascosto dal moderatore
  • L’utente di test TL0 può immediatamente modificare il titolo e rendere visibile il post (e quindi modificare anche il contenuto del post)
2 Mi Piace

Hmm, la mia descrizione avrebbe potuto essere migliore. Sì, è progettato in modo che possano modificare il post, ma la possibilità di modificare è bloccata da un timer di cooldown.

Nella 3 possiamo vedere che questo funziona, il post è bloccato e non può essere modificato perché il timer non è scaduto. Tuttavia, l’utente può aggirare il timer se modifica il titolo. Questo è il bug.

Dovrei menzionare che questo è con un utente TL1.

vuoi bloccare il post per un anno prima che possano modificarlo? non ha senso.

elimina semplicemente il post

È una soluzione temporanea. Vogliamo che l’utente veda l’argomento in modo che possa recuperare i buoni contenuti da esso e crearne uno nuovo. Una volta che hanno finito, possiamo eliminare l’argomento.

Il problema è che se permettiamo loro di modificare l’argomento:

  1. Verrà ripubblicato
  2. Le informazioni riservate saranno visibili nella cronologia delle versioni

Sembra che questa riga sovrascriva il controllo nascosto e il cooldown

https://github.com/discourse/discourse/blob/c4843fc1c18fb077d61e59615f54c4735bb42/lib/guardian/post_guardian.rb#L167

1 Mi Piace

Abbiamo una riproduzione, può essere assegnato a @sam?

3 Mi Piace