Parece que si un miembro del personal cambia la propiedad de un susurro a un usuario que no puede usar susurros, el usuario sin acceso a susurros puede ver su publicación, aunque no debería poder hacerlo.
Por ejemplo (este usuario es un TL4 sin privilegios de moderador o administrador, y solo el personal tiene acceso a los susurros):

image750×367 19.2 KB

Pasos para reproducir

1. Como administrador, crea un susurro (asegúrate de que solo el personal pueda usar susurros).
2. Cambia el propietario del susurro a un usuario que no sea del personal.
3. Como ese usuario que no es del personal, abre el tema en el que se encuentra el susurro y mira la publicación del susurro.

Esa es interesante. ¿Qué pasa si se te permite crear un susurro, creas un susurro y luego te eliminan de los grupos permitidos para susurros? ¿Aún puedes ver tus susurros incluso entonces?

Acabo de probar y mi alternativo todavía podía ver sus propios susurros después de que fuera eliminado de los grupos permitidos.

Puedo ver algunas publicaciones antiguas de susurros que creé en temas públicos en Meta, pero ningún otro susurro. La lógica parece ser que un susurrador puede ver sus propios susurros. Me parece un error.

Veo esto como un problema, pero lo llamaré Feature vs Bug.

Poniendo pr-welcome en caso de que alguien quiera probar una solución.

Esto se ha corregido como parte de SECURITY: Don't display user's old whispers if not in allowed group · discourse/discourse@0b1dd04 · GitHub.

Este tema se cerró automáticamente después de 2 días. Ya no se permiten nuevas respuestas.