حدد "المشاهدة". هل تشير إلى قوائم مثل /explore/users ؟ ماذا عن تعليقهم على القضايا العامة ، هل تريد إخفاء التعليق؟ الالتزام بإعادة الشراء العامة ، هل يجب عدم إظهار الالتزام؟

(لا يمكن تنفيذ أي من الحالتين الأخيرتين بطريقة معقولة بالمناسبة :))

أعتقد أن الغرض من هذا هو الاختباء من explore/users

bkcsoft نعم أشير إلى /explore/users . لكم الحقيقة لقد نسيت كل شيء عن هذا الموضوع. تمكنت من حلها باستخدام نموذج.

للإجابة الكاملة على سؤالك ، لدي المستخدم الجذر والمستخدمون الآخرون "للقراءة فقط" الذين لا أريدهم أن يظهروا على الصفحة /explore/users . إذا لم يكن لديهم التزامات ، فسيتم إخفاؤهم بشكل أساسي عن الرأي العام. أريد منع أي شخص من تسجيل الدخول باستخدام المستخدمين الجذر أو المستخدمين "للقراءة فقط".

ملحوظة:

• أعني بعبارة "للقراءة فقط" أن لدي حسابات لها حق وصول للقراءة فقط إلى المستودعات في حساب Gitea الرئيسي الخاص بي.

demonpig هل ستتمكن من نشر جوهر القالب المخصص الذي تستخدمه؟

techknowlogick هنا تذهب.
الملف موجود في: ${GITEA_HOME}/custom/templates/explore

{{template "base/head" .}}
<div class="explore users">
        {{template "explore/navbar" .}}
        <div class="ui container">
                Users not viewable.
        </div>
</div>
{{template "base/footer" .}}

تضمين التغريدة

سيكون من الجيد أن يكون لديك ، بالإضافة إلى خيار يخفي جميع المستخدمين عن العرض العام ، خيار إخفاء مستخدمين معينين عن العرض العام. مثل الحسابات المحلية الاحتياطية عند تمكين ldap المصادقة = /.

+1
لقد واجهت للتو نفس المشكلة - يظهر حساب المسؤول فقط وليس حساب LDAP بشكل بارز على الصفحة المقصودة. هذا يتطلب محاولات تسجيل دخول "إبداعية" ....

نعم ، سيكون من الجيد الحصول عليها. في الوقت الحالي ، كان علي فقط 403 أي شخص يزور /explore/users عبر NGINX.

FWIW ، يبدو أن كلاً من مجتمع gitea و gogs يريد هذا.

https://github.com/gogits/gogs/issues/5080
https://github.com/gogits/gogs/issues/3248

رفض الوصول إلى / استكشاف / المستخدمين فقط لا يحل المشكلة. لا يزال من الممكن العثور على المستخدمين عبر واجهة برمجة التطبيقات:

curl -X GET "http://gitea/api/v1/users/search" -H  "accept: application/json"

تضمين التغريدة نسيت تمامًا منع الوصول إلى نقطة النهاية هذه أيضًا.

أرغب في رؤية هذا حتى لا يكون المستخدم الإداري بارزًا جدًا.

للتوضيح ، هل هذه المشكلة مع REQUIRE_SIGNIN_VIEW مضبوطة على true أو false ؟

davidsiefert لا أعتقد ذلك. في الأساس ، هل يمكن أن يكون هناك خيار تكوين مضاف من شأنه منع حساب الجذر أو جميع حسابات المستخدم الأخرى من الظهور من كل من واجهة برمجة التطبيقات ونقاط النهاية /explore/users ؟ ربما يمكن تكوين / تطوير Gitea بطريقة تعرض فقط المستخدمين الذين قاموا بالتزامات؟

... أو أولئك الذين يختارون النشر.

ستكون هذه ميزة مهمة بالنسبة لنا. يجب ألا يكون المستخدمون قادرين على رؤية المستخدمين الآخرين.

طلب +1 لإخفاء المستخدمين عن الآخرين باستثناء المسؤول (إضافة علامة حقوق)

+1

كيف سيتم التعامل مع ذلك في API؟

+1

+1

تم وضع علامة على هذه المشكلة تلقائيًا على أنها قديمة نظرًا لعدم وجود نشاط حديث لها. سيتم إغلاقه إذا لم يحدث أي نشاط آخر خلال الأسبوعين المقبلين. شكرا لمساهماتكم.

لا يزال مطلوبًا ...

نعم. بالتأكيد لا يزال يريد.

حل مؤقت (يخفي فقط الخيارات من المشاهدات) لمن هم في عجلة من أمرنا هنا: https://github.com/gogs/gogs/issues/5080#issuecomment -482657310

لمن هم في عجلة من أمرنا هنا: gogs / gogs # 5080

miqmago كيف يمنع من كتابة "/
أعتقد أن الترقيع الخاص بـ route.go (حول https://github.com/go-gitea/gitea/blob/master/routers/routes/routes.go#L247) إلزامي ، أليس كذلك؟

أيضًا ، تم حل مشكلة # 6530 على أنها مكررة.
لكني أود أن أؤكد ، أن إصدار ميزة تنظيمية خاصة ، ولكن مع إمكانية كشف كل المستخدمين حتى من أي مؤسسة خاصة ، يجب التعامل معها على أنها ثغرة أمنية: غمزة:

هل من الممكن تصعيد هذه المشكلة إلى فرع 1.8.1؟

ليست ثغرة أمنية ، حيث لم تكن معايير القبول تخفي أبدًا المستخدمين الذين يشكلون جزءًا من المؤسسات المخفية. هذا هو الغرض من هذه التذكرة.

ليس ثغرة أمنية

موافق :)

ولكن هل يمكن إضافة معايير إخفاء المستخدمين من مؤسسة خاصة إلى مؤسسات أخرى؟ قد يكون اختياريا.
أو على الأقل الحظر الاختياري لمسار "/ Explore / users" ونموذج التوافق ...
يسعدني رؤيته في 1.8.x. عذرًا ، مهاراتي الحالية في Go ليست كافية للمساهمة في بعض العلاقات العامة :(

igsol أنت على حق ، لقد قمت بتحديث الموضوع لذا لا يمكن الوصول إليه الآن إلا من قبل المستخدمين المسؤولين في الوقت الحالي.

من وجهة نظري ، يجب أن يكون هذا شيئًا قابلاً للتكوين في لوحة تحكم مسؤول المستخدم. أعتقد أيضًا أن هذا أمر معقد للغاية ولست على علم بجميع الحلول المقترحة. من المؤكد أن هناك سيناريوهات متعددة: إذن لرؤية جميع المستخدمين من مؤسسة ينتمي إليها المستخدم ، ورؤية جميع المستخدمين ، ورؤية أنفسهم فقط ، والمستخدمين العموميين ...

techknowlogick لا أعرف ما إذا كان هذا هو المكان المناسب لمناقشته وأين يمكنني العثور على مزيد من المعلومات حوله ، لكنني قرأت أن هذا هو gogs fork الذي يديره المجتمع. لست متأكدًا من الاختلافات مع gogs ، وكيف يدمج الميزات الجديدة المطورة على gogs ولماذا يجب أن أهاجر إلى gitea أو التمسك بال gogs والإيجابيات والسلبيات. ربما يمكنك توجيهي إلى مكان ما للحصول على مزيد من المعلومات. وأقول أيضًا إنني لست مبرمجًا ذا خبرة أثناء التنقل ، ولكن يمكنني المساهمة أيضًا بطريقة ما ، أي أعمل على الترجمات الكاتالونية.

miqmago هنا مقارنة مفيدة حول ما تقدمه Gitea مقابل Gogs: https://docs.gitea.io/en-us/comparison/ بالإضافة إلى منشور مدونة الإطلاق الذي يوضح الاختلافات في إدارة المشاريع: https: / /blog.gitea.io/2016/12/welcome-to-gitea/

igsol هذه التذكرة لن تجعلها في إصدار 1.8.x بسبب المشروع فقط إصلاحات أخطاء backporting ، نحن نعمل حاليًا على الحصول على 1.9.x خارج.

تعمل حاليًا على إخراج 1.9.x.

techknowlogick حسنًا ، أرى ، NP.

لقد ساعدت نفسي حتى الآن من خلال إنشاء بناء خاص محلي بتطبيق رقعي الوحشي تمامًا (شيء مثل

على أي حال ، شكرًا لجميع الفريق على Gitea الرائعة.

1.9.0 تم إصداره. هل هناك فرصة للفت الانتباه إلى هذه التذكرة؟

تضمين التغريدة
هذه امنيتي ايضا

هل هذا يساعد؟

https://github.com/go-gitea/gitea/pull/8340

هل هذا يساعد؟

8340

ألن يخفي هذا كل المستخدمين من العرض العام؟

فقط إذا كان REQUIRE_SIGNIN_VIEW صحيحًا ولم تقم بتسجيل الدخول.

فقط إذا كان REQUIRE_SIGNIN_VIEW صحيحًا ولم تقم بتسجيل الدخول.

إذا كان REQUIRE_SIGNIN_VIEW صحيحًا ، فسيتم إخفاؤه على أي حال. ثانيًا ، سيظل يخفي جميع المستخدمين ، وهذا ليس الهدف من الطلب. على وجه الخصوص ، نظرًا لأن بعض المستخدمين يريدون إخفاء مستخدم واحد فقط وأعتقد أنه سيكون من المبالغة بعض الشيء إذا كنت ستخفي جميع المستخدمين الذين تم إنشاؤهم على الإطلاق فقط بسبب حساب نظام واحد.

حسنا آسف.

لذا هل يمكننا تحديث المشكلة من فضلك.

ما المطلوب؟

تكوين جديد: ALLOW_VIEW_USERS؟

ما المطلوب؟

من الناحية المثالية من وجهة نظري الشخصية ، أرغب في إعداد يمكن لكل مستخدم تعيينه على النحو التالي:

...
إخفاء الحساب من العرض العام []
...

والذي سيكون بين الإعدادات الأخرى مثل _Hide e-mail address_.

سيكون من الجيد أيضًا تضمينه في إعدادات المسؤول ، على الرغم من أنني أعتقد أن جعل الجميع قادرًا على اتخاذ القرار هو الحل الأفضل.

إذا كان سيتم تنفيذ هذا ، يجب أن تصبح جميع المستودعات من هذا المستخدم خاصة ، وهو تغيير IMHO غير بسيط. على سبيل المثال ، يجب أن تكون المستودعات المتشعبة عامة إذا كان مستودع المصدر عامًا ، لذلك سيتم الكشف عن وجود المستخدم في النهاية.

إذا كان سيتم تنفيذ هذا ، يجب أن تصبح جميع المستودعات من هذا المستخدم خاصة ، وهو تغيير IMHO غير بسيط. على سبيل المثال ، يجب أن تكون المستودعات المتشعبة عامة إذا كان مستودع المصدر عامًا ، لذلك سيتم الكشف عن وجود المستخدم في النهاية.

من الناحية المثالية ، يجب أن تكون هذه الطريقة اختيارية. أرى حالات استخدام حيث تريد فقط _unlist_ (مثل مقاطع فيديو غير مدرجة على YouTube) مستخدمًا ، مما يعني أنك لا تريد عرض هذا المستخدم بشكل بارز كما لو كان ملك Gitea ولكن لن تواجهك مشكلة إذا كان مختبئًا في مكان ما في غابة Gitea الخاصة بك. هذا المثال صحيح بالنسبة لي.

من الناحية المثالية ، يجب أن تكون هذه الطريقة اختيارية. أرى حالات استخدام حيث تريد فقط _unlist_ (مثل مقاطع فيديو غير مدرجة على YouTube) مستخدمًا ، مما يعني أنك لا تريد عرض هذا المستخدم بشكل بارز كما لو كان ملك Gitea ولكن لن تواجهك مشكلة إذا كان مختبئًا في مكان ما في غابة Gitea الخاصة بك. هذا المثال صحيح بالنسبة لي.

ولكن بعد ذلك يجب أن تكون هذه المشكلة بعنوان "إلغاء إدراج بعض المستخدمين في Gitea". 😁

من الناحية المثالية ، يجب أن تكون هذه الطريقة اختيارية. أرى حالات استخدام حيث تريد فقط _unlist_ (مثل مقاطع فيديو غير مدرجة على YouTube) مستخدمًا ، مما يعني أنك لا تريد عرض هذا المستخدم بشكل بارز كما لو كان ملك Gitea ولكن لن تواجهك مشكلة إذا كان مختبئًا في مكان ما في غابة Gitea الخاصة بك. هذا المثال صحيح بالنسبة لي.

ولكن بعد ذلك يجب أن تكون هذه المشكلة بعنوان "إلغاء إدراج بعض المستخدمين في Gitea". 😁

أعتقد أن العنوان الأكثر دقة هو "إخفاء أو إلغاء إدراج المستخدمين". سيكون توفير كلا الخيارين حلاً رائعًا.

يجب أن تكون هذه الميزات متاحة أيضًا للمنظمات ، بالطبع.

+1 لإخفاء (جميع) المستخدمين عندما لا أقوم بتسجيل الدخول ، مستكشف + واجهة برمجة التطبيقات ، ولكن عندما أقوم بتسجيل الدخول ، أريد رؤية (جميع) المستخدمين.

أستخدم MariaDB.
مع users.tmpl ، لا يمكنني تطبيق ما أريد ، لأنه عندما أقوم بالتسجيل لا يمكنني رؤية المستخدمين أيضًا.
يمكن لواجهة برمجة التطبيقات دائمًا سرد جميع المستخدمين.

أحتاج إلى عرض المستخدم من العرض العام ، ولكن ليس كل المستخدمين.

cd / etc / gitea
نانو app.ini
REQUIRE_SIGNIN_VIEW: صحيح
عمل جيد جدا! لكن هذا الخيار كان متطرفًا!
يتم الآن احترام الجانب الأمني ​​، لكننا نفضل أن نكون قادرين على اختيار ما إذا كنا سنكون مرئيًا أم لا ، كمستخدم عام أو خاص.

+1 ، نحتاج إلى إخفاء علامة تبويب ExplorerUser أو اختيار أي مستخدم (محلي أو ldap) يجب إدراجه في قائمة ExplorerUser ... من السهل استرداد تسجيل دخول المستخدم ثم فرضه بالقوة ... أو أي شيء آخر
شكرا لك على هذه الأداة الرائعة. ، gitea

REQUIRE_SIGNIN_VIEW = صحيح

يبدو أن تفعل خدعة.

Braqoon أنت لم تقرأ المحادثة. انها لا "تفعل الحيلة".

سيكون رائعا إذا كان هذا يمكن تنفيذه.
أرغب في كشف بعض مستودعاتي (العامة) للمختطفين غير المسجلين في مثيل gitea الخاص بي ، لكنني لا أريد أن أعرض عليهم جميع المستخدمين المسجلين (بما في ذلك المسؤول). كما ذكر theAkito ، ببساطة REQUIRE_SIGNIN_VIEW = true لا يحل المشكلة.

تعديل:
والأسوأ من ذلك ، لقد قمت للتو بفحص API-Call curl -X GET "http://gitea/api/v1/users/search" -H "accept: application/json" كما هو مذكور بواسطةshuhaowu. حتى المستخدمين غير المسجلين يمكنهم بسهولة اكتشاف المعلومات الهامة مثل is_admin أو last_login . من الناحية الأمنية ، هذا أمر محظور مطلقًا.

أوافق تمامًا على أنه سيكون من المفيد جدًا إخفاء المستخدمين الذين ليس لديهم إعادة شراء عامة. لنفترض أنني أضفت بعض المستخدمين للتعليق على المشكلات المتعلقة بالمشروعات الخاصة ، فسيكون من الأفضل جعلهم غير مرئيين في قائمة الاستكشاف!

سيكون من الرائع عدم إظهار المستخدمين الذين ليس لديهم إعادة شراء عامة

أرى الكثير من التعليقات هنا ولكن لا توجد مواصفات أو مقترحات لكيفية تكوينه.

من المرجح أن يؤدي التكوين المعقول الذي يمكن أن يحافظ على النظام الحالي ويقدم وجهات النظر المقيدة المقترحة إلى التنفيذ.

على سبيل المثال ، كتلة التكوين المقترحة:

[explore.users]
REQUIRE_SIGNED_IN=false ; set to true to only allow signed in users to see this page
ONLY_SHOW_USERS_WITH_PUBLIC_REPOS=false ; set to true to only show users with public repos
...

وما إلى ذلك وهلم جرا.

ثم سيكون من السهل تنفيذها.

zeripath يبدو النهج الذي وضعته معقولًا بالنسبة لي ويجب أن يغطي معظم حالات المعلومات المكشوفة ، إذا كانت تغييرات التكوين المنفذة تؤثر على API-Access أيضًا.

من جانبنا نعتقد أن هذه القضية قضية أمنية خطيرة.

تقوم Gitea بتسريب معلومات شخصية مهمة: الاسم الأول ، واسم العائلة ، وتسجيل الدخول ، والبريد الإلكتروني ، وتاريخ الإنشاء (عند انضمامهم إلى مؤسستنا).

في حالتنا ، تستخدم Gitea مصادقة LDAP وتسرب بشكل أساسي جميع معلومات أعضائنا ، دون أي وسيلة للحد من هذا التسريب / إيقافه.

REQUIRE_SIGNIN_VIEW غير قابل للاستخدام لأنه يكسر المستودعات العامة. يؤدي حظر / api / v1 / users / search endpoint إلى كسر القدرة على إضافة مستخدم إلى المستودع.

سيكون حقًا ممتنًا أن يكون لديك طريقة على الأقل للحد من التسرب للمستخدمين المصادق عليهم.

fluboi في الوقت الحالي ، يمكنك تقييد وصول واجهة برمجة التطبيقات إلى المستخدمين المصادق عليهم

تحرير: يبدو أنه لا يوجد إعداد لواجهة برمجة التطبيقات فقط: /

إنه لأمر مخيب للآمال أن ترى الأشخاص يعلقون مرارًا وتكرارًا على هذه المشكلة دون تقديم مواصفات أو تكوين مقترح ، أو التعليق على أوجه القصور أو التحسينات في المواصفات المقترحة هنا: (https://github.com/go-gitea/gitea/issues/2908 # issuecomment-670616617)

إذا كان هناك المزيد من الاستجابة والاعتبار لتعليقي بالعمل معًا حول ما هو ضروري وما يمكن أن ينجح لكان هذا قابلاً للتنفيذ منذ أشهر.

كما هو الحال ، فقد اقترحت علاقات عامة لإغلاق هذا لكنني لا أعرف ما إذا كان ذلك كافياً.

شكرًا لعملك zeripath وآسف
مما أفهمه أن علاقاتك العامة تلبي احتياجاتنا.
شكرا لك مرة أخرى

إذا كان هناك المزيد من الاستجابة والاعتبار لتعليقي بالعمل معًا

أعتقد أن السبب ليس الكسل أو النية الخبيثة ، بل عدم فهم الخلفية وربما حتى اللغة المكتوبة بها. وبقدر ما رأيت ، فإن معظم الناس هنا ليس لديهم أي فكرة عن Go ، كما هم فقط مستخدمي هذا الخادم وليس المطورين.
لا يمكنني التحدث كثيرًا عن كل هؤلاء الأشخاص الذين لا أعرفهم ، لكن يمكنني التحدث عن نفسي:
لا أفهم خلفية Gitea الخلفية ولا أرغب في الانخراط في Go ، لأنني لا أحب اللغة وهناك الكثير من مبرمجي Go هناك بالفعل ، على أي حال ، لذلك لا داعي لفعل شيء آخر في الحياة ، دون داع. على سبيل المثال ، إذا كانت الواجهة الخلفية مكتوبة بلغة Nim ، فسأكون على استعداد للمساهمة بسعادة ، وربما حتى أصلح هذه المشكلة بنفسي ، لأن Nim هو في الواقع ممتع وممتع ، بينما Go هو عمل روتيني خالص ومزعج ، بالنسبة لي شخصيًا. ومع ذلك ، إذا كان الأمر كذلك ، فمن المحتمل أن يغادر جميع المساهمين الحاليين ، لأنهم يفضلون البقاء مع Go.

أعتقد أيضًا أنه ليس من المنطقي للأشخاص الذين يضيفون أفكارًا عشوائية تتعلق بالتنفيذ ، إذا لم يكن لديهم فكرة عن بنية الواجهة الخلفية و / أو اللغة. ربما يكون من الأفضل ، إذا قرر هؤلاء الأكثر خبرة التنفيذ ، خاصة فيما يتعلق بالميزات الأمنية ، التي عادة ما تكون مهمة للتنفيذ بشكل صحيح وليس بالضرورة بشكل جميل.

بالطبع ، هذا مشروع مفتوح المصدر وليس عليك أنت أو أي مساهم آخر أي التزام بتنفيذ أي شيء ، باستثناء ربما الرعاة الكبار ، الذين يرعون الكثير فقط من أجل هذه المزايا. أعتقد أننا جميعًا نفهم ذلك.
ومع ذلك ، يتناغم الناس هنا ، ويشرحون مشكلتهم ، ويؤكدون على أهميتها ، على أمل أن تعالج قيادة Gitea هذه المشكلة في أسرع وقت ممكن ، بدلاً من العديد من المشكلات الأخرى في هذا المستودع التي تتم معالجتها بدلاً من ذلك. لذلك كل الناس هنا يطلبون ، ليس القيام بالمزيد من العمل ، ولكن فقط لتغيير تركيز القضايا. ببساطة: تخلص من مشكلة أخرى وحل هذه المشكلة بدلاً من ذلك.

هذا هو السبب في أنني أعتقد أنه من الصحيح أن أتحدث هنا ، مع التأكيد على أهمية هذه المشكلة ، حتى لو لم يكن لدى هذا الشخص الذي ينشر تعليقًا وقتًا أو اهتمامًا أو ببساطة ليس لديه المعرفة للمساعدة في التنفيذ. معظم الناس هنا مجرد مستخدمين ، كما أنا أيضًا.

أعتقد أن السبب ليس الكسل أو النية الخبيثة ، بل عدم فهم الواجهة الخلفية وربما حتى اللغة المكتوبة بها. وبقدر ما رأيت ، ليس لدى معظم الناس هنا أي فكرة عن Go ، كما هم فقط مستخدمي هذا الخادم وليس المطورين.

لا أستطيع أن أتفق أكثر. أنا مطور ولكني لست في Go ولم أمتلك الوقت الكافي للتعرف على الكود الأساسي وطريقة عمل التطبيق ، لذا سيكون من المؤكد أن التعليق على التنفيذ سيؤدي إلى نتائج عكسية ومن ثم نقلت فقط حاجة المستخدم الخاصة بي!
لكنني أقدر حقًا العمل المنجز (الحفاظ على مشاريع أخرى مفتوحة المصدر ، أعلم أنها ليست مهمة سهلة وأن ملاحظات المستخدمين ليست دائمًا ما تتوقعه!).

يرجى الاستمرار في الموضوع ، إذا لم يكن لديك أي شيء تضيفه حول مشكلة معينة ، فيرجى عدم التعليق.

مجرد ملاحظة جانبية ونأمل في نهاية هذه المناقشة الخارجة عن الموضوع: لا يحصل أي من مساهمي Gitea على أموال مقابل تطوير ميزات جديدة أو إصلاح الأخطاء ، فنحن جميعًا نفعل ذلك في أوقات فراغنا ، لذلك ما لم يكن شخص ما على استعداد لرعاية ميزة أو تطوير معين ، يتمتع كل شخص ، بما في ذلك المساهمون في Gitea ، بحرية تطوير ما يحلو لهم ، ولا تقول "القيادة" لشركة Gitea عما يتعين على المساهمين الآخرين القيام به عندما يكرسون وقت فراغهم لهذا المشروع لتطوير الميزات التي يحتاجون إليها أو الاستمتاع بها.