Tomé estas capturas de pantalla mientras no había iniciado sesión. Así que definitivamente no estaba en ese grupo, pero aún podía ver estas publicaciones. Es lo mismo para todas las respuestas. Entonces, dado que las publicaciones son visibles incluso para usuarios anónimos, ¿por qué se muestra este aviso si haces clic en la fecha de la publicación?
3 Me gusta
Sí, puedo reproducir eso y parece un error.
https://meta.discourse.org/c/61/visible_groups.json
devuelve
{"success":"OK","groups":["theme_authors"]}
Independientemente de si he iniciado sesión o si soy anónimo.
4 Me gusta
@jamie.wilson ¿Sabes si esto es intencional, ya que no creo haber cambiado nada como parte de la corrección de seguridad?
3 Me gusta
Yo también puedo reproducirlo. Lo noté por primera vez hace unas semanas (alrededor de la época en que se implementó el cuadro de diálogo de compartir unificado), pero lo dejé pasar y decidí no crear un tema al respecto.
2 Me gusta
Creo que está diseñado para aparecer cuando intentas compartir un enlace de una categoría privada (por ejemplo, The Lounge) para recordarte que no todo el mundo podrá hacer clic y ver el contenido. Parece que está apareciendo para más cosas de las que debería. Lo pasaré a Bug 
7 Me gusta
Parece que necesitamos refinar un poco más la lógica en visible_groups.
En este caso, dado que theme_authors es visible para Todos, la advertencia es superflua.
SECURITY: Category group permissions leaked to normal users. · discourse/discourse@0f7b987 · GitHub
Parece que perdimos esa lógica cuando se eliminó esta línea. Necesitaremos algo similar en el backend, ya que ya no exponemos esa información al cliente.
1 me gusta
¡Gracias por los pasos de reproducción! Corregí el error en esta PR:
4 Me gusta