Sembra che se un membro dello staff cambia la proprietà di un sussurro a un utente che non può usare i sussurri, l’utente senza accesso ai sussurri può vedere il “suo” post, anche se non dovrebbe esserne in grado.
Ad esempio (questo utente è un TL4 senza privilegi di moderatore o amministratore, e solo lo staff ha accesso ai sussurri):

image750×367 19.2 KB

Passaggi per riprodurre

1. Come amministratore, crea un sussurro (assicurati che solo lo staff possa usare i sussurri).
2. Cambia il proprietario del sussurro a un utente non dello staff.
3. Come quell’utente non dello staff, apri l’argomento in cui si trova il sussurro e guarda il post del sussurro.

Questa è interessante. Che ne dici se ti è permesso creare un sussurro, crearlo e poi vieni rimosso dai gruppi autorizzati ai sussurri - puoi ancora vedere i tuoi sussurri anche allora?

Ho appena testato e il mio alt poteva ancora vedere i propri sussurri dopo essere stato rimosso dai gruppi autorizzati.

Posso vedere alcuni vecchi post di sussurri che ho creato in argomenti pubblici su Meta, ma nessun altro sussurro. La logica sembra essere che un sussurratore può vedere i propri sussurri. Sembra un bug.

Vedo questo come un problema, ma lo chiamerò Feature vs Bug.

Metto pr-welcome nel caso qualcuno voglia provare una correzione.

Questo è stato corretto come parte di SECURITY: Don't display user's old whispers if not in allowed group · discourse/discourse@0b1dd04 · GitHub.

Questo argomento è stato chiuso automaticamente dopo 2 giorni. Non sono più permesse nuove risposte.