La configuración "blocked onebox domains" no se respeta

dschaper · 16 Febrero, 2022 21:35

Se ignoran los blocked onebox domains en 2.9.0beta2 (c6265eec6b).

Tenemos:

Esos dominios están detrás de muros de OAuth y el onebox intenta previsualizar los dominios y obtiene la URL de inicio de sesión de OAuth en su lugar.

supermathie · 16 Febrero, 2022 23:01

Esa configuración solo tiene efecto en el servidor; tu navegador seguirá intentando hacer una “onebox” para la vista previa.

Puedo ver cómo esto podría ser inesperado.

Si envías la publicación, ¿muestra la “onebox” después de que el servidor la procesa, o muestra la URL sin formato como esperas?

dschaper · 17 Febrero, 2022 00:08

Se muestra como un onebox cuando se publica el comentario:

supermathie · 17 Febrero, 2022 00:14

Sí, esto no parece estar funcionando correctamente…

nat · 17 Febrero, 2022 01:09

¿Puedes intentar añadir “auth.pi-hole.net” en tu configuración de dominios de onebox bloqueados?

Hemos hecho que esta configuración siga las redirecciones como se indica aquí pero solo bloquea el dominio especificado si es el destino final.

dschaper · 17 Febrero, 2022 01:15

Lo acabo de probar y sigue funcionando. Creo que es porque el endpoint auth.pi-hole.net es una redirección URI desde el endpoint OAuth en github.com. Y preferiríamos no bloquear github.com para que no funcione.

Déjame comprobar si bloquear github hace algo… No, bloquear github.com tampoco evita que funcione. ¿Hay alguna caché que pueda estar usando que necesite ser borrada para que se realice una nueva búsqueda de tricorder?

nat · 17 Febrero, 2022 01:55

Sí, puedo entender por qué.

Hay una caché de un día para las URL de onebox obtenidas, por lo que volver a hornear la publicación manualmente (post.rebake!) después de un día evitaría el oneboxing con github.com bloqueado.

Tenemos algo de trabajo pendiente para ser más inteligentes con las redirecciones de autenticación, pero eso está limitado a la autenticación solo para foros de Discourse. Estoy pensando que quizás expandir la configuración para permitir también subdirectorios nos ayudaría en este caso para github: \u003chttps://github.com/login/oauth/authorize\u003e … Lo discutiremos internamente al respecto.

Probablemente también sea bueno que el texto de ayuda sea específico sobre lo que realmente se bloquea, quizás un adicional: “Onebox seguirá las redirecciones y solo bloqueará si el destino final coincide con esta configuración”.

sam · 17 Febrero, 2022 02:27

Idea descabellada… ¿deberíamos admitir:

cache-control: no-store

La directiva de respuesta no-store indica que ninguna caché de ningún tipo (privada o compartida) debe almacenar esta respuesta.

GitHub está diciendo específicamente… por favor… no me almacenes…

Quizás onebox debería respetarlo… y no almacenarlo.

Siempre podríamos hacer de esto una configuración experimental para empezar y ver qué impacto tiene.

La vista previa tendría que explicar por qué no estamos haciendo onebox.

Nota… usamos no-store en bastantes lugares, pero creo que en esos casos redirigimos, sin embargo, existe esta ligera complejidad.

github.com/discourse/discourse

spec/requests/topics_controller_spec.rb

a0c65e91d


      
          it 'correctly renders canonicals' do
            get "/t/#{topic.id}", params: { slug: topic.slug }
          
            expect(response.status).to eq(200)
            expect(css_select("link[rel=canonical]").length).to eq(1)
            expect(response.headers["Cache-Control"]).to eq("no-cache, no-store")
          end

dschaper · 17 Febrero, 2022 20:15

Nos enlazamos a muchas PRs y Issues desde nuestros diversos repositorios y tenerlos previsualizados ayuda a los usuarios más nuevos a ver de qué trata el tema sin tener que entrar en GitHub.

sam · 17 Febrero, 2022 20:56

Sí, lo entiendo totalmente, estamos trabajando en una solución, creo que un día después, mirando la cabecera “no store” puede ser la mejor manera de avanzar.

dschaper · 28 Febrero, 2022 19:57

Lamento revivir este tema, pero está afectando realmente a nuestro sitio de soporte. La gente publica enlaces a la URL de tricorder que son registros de solución de problemas para que el personal con credenciales los revise. Recibimos varias de estas publicaciones al día y tenemos que entrar manualmente y cambiar la URL a una que no sea un enlace por ahora.

¿Alguna idea sobre un plazo de resolución o es “pronto™”

sam · 28 Febrero, 2022 20:21

Lo resolveremos, diría que en las próximas 4 semanas aproximadamente.

GreenOWL · 10 Marzo, 2022 15:21

¿Cómo hacerlo en Discourse Docker?

sam · 11 Marzo, 2022 00:22

Recomiendo esperar a que llegue nuestra solución, tenemos una PR en progreso:

github.com/discourse/discourse

FIX: Apply onebox blocked domain checks on every redirect

main ← fix/onebox-check-blocked-domain-on-redirect

opened 12:09AM - 10 Mar 22 UTC

OsamaSayegh

+171 -38

The `blocked onebox domains` setting lets site owners change what sites are all…owed to be oneboxed. When a link is entered into a post, Discourse checks the domain of the link against that setting and blocks the onebox if the domain is blocked. But if there's a chain of redirects, then only the final destination website is checked against the site setting. This commit amends that behavior so that every website in the redirect chain is checked against the site setting, and if anything is blocked the original link doesn't onebox at all in the post. The `Discourse-No-Onebox` header is also checked in every response and the onebox is blocked if the header is set to "1". Additionally, Discourse will now include the `Discourse-No-Onebox` header with every response if the site requires login to access content. This is done to signal to a Discourse instance that it shouldn't attempt to onebox other Discourse instances if they're login-only. Non-Discourse websites can also use include that header if they don't wish to have Discourse onebox their content. Internal ticket: t59305.

Modifica el comportamiento para que:

Realicemos la verificación de la lista de bloqueo en cada salto de una cadena de redirección.
Introduzcamos una nueva función para que cualquier sitio pueda optar por no participar en oneboxing estableciendo una cabecera personalizada.

Esto resolverá el problema de @dschaper y nos dará más flexibilidad en el futuro.

Desafortunadamente, optar por no store abarcaría una red demasiado amplia y atraparía demasiados falsos positivos.

Osama · 11 Marzo, 2022 06:50

Se ha fusionado la PR y está en la rama tests-passed. ¿Puedes actualizar @dschaper y ver si soluciona el problema? Las URL con el dominio tricorder.pi-hole.net ya no deberían aparecer como “onebox” en tu sitio.

dschaper · 14 Marzo, 2022 22:15

¡Todo parece bien aquí!

Gracias por la corrección a todos.

Tema		Respuestas	Vistas
"blocked onebox domains" doesn't work Bug	5	529	23 Enero 2023
How can I stop onebox redirection? Feature	15	2021	17 Diciembre 2019
Allow sub-domains from blocked domain to onebox Support onebox	7	534	13 Octubre 2023
Onebox no longer works for my wordpress site Support	12	1691	12 Junio 2017
Disabling oneboxes Support	3	393	23 Enero 2023

La configuración "blocked onebox domains" no se respeta

Temas relacionados