Parece que, se um membro da equipe alterar a propriedade de um sussurro para um usuário que não pode usar sussurros, o usuário sem acesso a sussurros poderá ver a postagem “dele”, embora não devesse conseguir.\nPor exemplo (este usuário é um TL4 sem privilégios de moderador ou administrador, e apenas a equipe tem acesso a sussurros):\n
\n# Passos para reproduzir\n1. Como administrador, crie um sussurro (certifique-se de que apenas a equipe possa usar sussurros).\n2. Altere o proprietário do sussurro para um usuário não pertencente à equipe.\n3. Como esse usuário não pertencente à equipe, abra o tópico em que o sussurro está e veja a postagem do sussurro.
4 curtidas
Essa é interessante. E se você tiver permissão para criar um sussurro, criar um sussurro e, em seguida, for removido dos grupos permitidos para sussurros - você ainda poderá ver seus sussurros mesmo assim?
4 curtidas
Acabei de testar e meu alt ainda podia ver seus próprios sussurros depois de ser removido dos grupos permitidos.
5 curtidas
Consigo ver algumas postagens antigas de sussurros que criei em tópicos públicos no Meta - mas nenhum outro sussurro. A lógica parece ser que um sussurrador pode ver seus próprios sussurros. Parece um bug.
5 curtidas
Eu vejo isso como um problema, mas vou chamá-lo de Feature vs Bug.
Colocando pr-welcome caso alguém queira tentar uma correção.
5 curtidas
Isso foi corrigido como parte de SECURITY: Don't display user's old whispers if not in allowed group · discourse/discourse@0b1dd04 · GitHub.
3 curtidas
Este tópico foi fechado automaticamente após 2 dias. Novas respostas não são mais permitidas.