スタッフがウィスパーの所有権をウィスパーを使用できないユーザーに変更した場合、ウィスパーへのアクセス権がないユーザーでも、本来はアクセスできないはずの「自分の」投稿を見ることができるようです。
例(このユーザーはモデレーターまたは管理者権限を持たないTL4であり、ウィスパーへのアクセスはスタッフのみが可能です):
それは興味深いですね。もしあなたがウィスパーを作成することを許可され、ウィスパーを作成した後、「ウィスパー許可グループ」から削除された場合、それでも自分のウィスパーを見ることができるのでしょうか?
テストしたところ、許可されたグループから削除された後でも、私の別アカウントは自分のささやきを見ることができました。
Metaの公開トピックで、私が作成した古いウィスパー投稿がいくつか見えます。ただし、他のウィスパーは表示されません。ロジックとしては、ウィスパー投稿者は自分のウィスパー投稿を見ることができるようです。これはバグのように思えます。
これは問題として認識できますが、ここでは Feature 対 Bug として扱います。
修正を試したい方がいらっしゃる場合に備えて、pr-welcome を追加しておきます。
これは SECURITY: Don't display user's old whispers if not in allowed group · discourse/discourse@0b1dd04 · GitHub で修正されました。
このトピックは2日間で自動的に閉じられました。新しい返信はもうできません。
