Похоже, что если сотрудник меняет владельца сообщения в приватной переписке на пользователя, не имеющего доступа к приватным сообщениям, то такой пользователь может видеть «своё» сообщение, хотя не должен иметь такой возможности.
Например (этот пользователь имеет уровень TL4, не является модератором или администратором, и доступ к приватным сообщениям есть только у сотрудников):

image750×367 19.2 KB

Шаги для воспроизведения

1. Как администратор, создайте приватное сообщение (убедитесь, что доступ к приватным сообщениям есть только у сотрудников).
2. Измените владельца приватного сообщения на пользователя, не являющегося сотрудником.
3. Как этот пользователь, не являющийся сотрудником, откройте тему, в которой находится приватное сообщение, и просмотрите сообщение в приватной переписке.

Это интересный вопрос. А что, если вам разрешили создавать шепот, вы его создали, а затем вас исключили из «групп, разрешающих шепот» — сможете ли вы всё ещё видеть свои шепоты?

Я только что проверил, и мой альт все еще мог видеть свои собственные шепоты после того, как его исключили из групп, которым это было разрешено.

Я вижу некоторые свои старые сообщения в разделе «шепот», которые я создал в публичных темах на Meta, но не другие шепоты. Похоже, логика такова, что пользователь, отправивший шепот, может видеть только свои собственные сообщения. Это кажется ошибкой.

Я вижу в этом проблему, но буду считать это фичей (#feature), а не багом (bug).

Добавляю метку pr-welcome на случай, если кто-то захочет попробовать исправить это.

Это было исправлено в рамках SECURITY: Don't display user's old whispers if not in allowed group · discourse/discourse@0b1dd04 · GitHub.

Эта тема была автоматически закрыта через 2 дня. Новые ответы больше не допускаются.