Es scheint, als ob ein Mitarbeiter den Besitz eines Whispers an einen Benutzer ändert, der keine Whispers verwenden kann. Der Benutzer ohne Whisper-Zugriff kann dann den Beitrag “sehen”, obwohl er dazu nicht in der Lage sein sollte.
Beispiel (dieser Benutzer ist TL4 ohne Moderator- oder Admin-Berechte, und nur Mitarbeiter haben Zugriff auf Whispers):

image750×367 19.2 KB

Schritte zur Reproduktion

1. Erstellen Sie als Administrator einen Whisper (stellen Sie sicher, dass nur Mitarbeiter Whispers verwenden können).
2. Ändern Sie den Besitzer des Whispers zu einem Nicht-Mitarbeiter-Benutzer.
3. Öffnen Sie als dieser Nicht-Mitarbeiter-Benutzer das Thema, auf dem sich der Whisper befindet, und sehen Sie sich den Whisper-Beitrag an.

Das ist eine interessante Frage. Was ist, wenn Sie einen Flüsterton machen, einen Flüsterton erstellen und dann aus den Flüsterton-berechtigten Gruppen entfernt werden – können Sie Ihre Flüstertöne dann noch sehen?

Ich habe gerade getestet, und mein Alt konnte seine eigenen Flüsternachrichten immer noch sehen, nachdem es aus den erlaubten Gruppen entfernt wurde.

Ich kann einige alte Whisper-Beiträge sehen, die ich in öffentlichen Themen auf Meta erstellt habe – aber keine anderen Whispers. Die Logik scheint zu sein, dass ein Whisperer seine eigenen Whispers sehen kann. Es fühlt sich wie ein Fehler an.

Ich sehe das als Problem, aber ich werde es als Feature vs Bug bezeichnen.

Füge pr-welcome hinzu, falls jemand einen Fix ausprobieren möchte.

Dies wurde als Teil von SECURITY: Don't display user's old whispers if not in allowed group · discourse/discourse@0b1dd04 · GitHub behoben.

Dieses Thema wurde nach 2 Tagen automatisch geschlossen. Neue Antworten sind nicht mehr zulässig.