Il semble que si un membre du personnel change le propriétaire d’un murmure à un utilisateur qui ne peut pas utiliser les murmures, l’utilisateur sans accès aux murmures peut voir son propre message, même s’il ne devrait pas pouvoir le faire.
Par exemple (cet utilisateur est un TL4 sans privilèges de modérateur ou d’administrateur, et seul le personnel a accès aux murmures) :

image750×367 19.2 KB

Étapes pour reproduire

1. En tant qu’administrateur, créez un murmure (assurez-vous que seul le personnel peut utiliser les murmures).
2. Changez le propriétaire du murmure en un utilisateur non membre du personnel.
3. En tant qu’utilisateur non membre du personnel, ouvrez le sujet sur lequel se trouve le murmure et regardez le message du murmure.

C’est intéressant. Qu’en est-il si vous êtes autorisé à créer un murmure, que vous créez un murmure, puis que vous êtes retiré des « groupes autorisés pour les murmures » – pouvez-vous toujours voir vos murmures même dans ce cas ?

Je viens de tester, et mon alt pouvait toujours voir ses propres chuchotements après avoir été retiré des groupes autorisés.

Je peux voir d’anciens messages de murmures que j’ai créés dans des sujets publics sur Meta - mais aucun autre murmure. La logique semble être qu’un murmureur peut voir ses propres murmures. Cela ressemble à un bug.

Je peux voir cela comme un problème, mais je vais appeler cela #fonctionnalité vs Bug.

Mise de pr-welcome au cas où quelqu’un voudrait essayer une correction.

Ceci a été corrigé dans le cadre de SECURITY: Don't display user's old whispers if not in allowed group · discourse/discourse@0b1dd04 · GitHub.

Ce sujet a été automatiquement fermé après 2 jours. De nouvelles réponses ne sont plus autorisées.