le paramètre "blocked onebox domains" n'est pas respecté

dschaper · Février 16, 2022, 9:35

Les blocked onebox domains sont ignorés dans la version 2.9.0beta2 (c6265eec6b).

Nous avons :

Ces domaines sont derrière des murs OAuth et le onebox essaie de prévisualiser les domaines et obtient l’URL de connexion OAuth à la place.

supermathie · Février 16, 2022, 11:01

Ce paramètre n’a d’effet que sur le serveur — votre navigateur tentera toujours de créer une prévisualisation onebox.

Je peux comprendre que cela puisse être inattendu.

Si vous soumettez le message, la prévisualisation onebox s’affiche-t-elle après le rendu par le serveur, ou affiche-t-elle l’URL brute comme vous vous y attendez ?

dschaper · Février 17, 2022, 12:08

Il s’affiche comme une prévisualisation lorsque le commentaire est publié :

supermathie · Février 17, 2022, 12:14

Oui, cela ne semble pas fonctionner correctement…

nat · Février 17, 2022, 1:09

Pouvez-vous essayer d’ajouter « auth.pi-hole.net » dans votre paramètre de domaines onebox bloqués ?

Nous avons fait en sorte que ce paramètre suive les redirections mais ne bloque le domaine spécifié que s’il s’agit de la destination finale.

dschaper · Février 17, 2022, 1:15

Je viens d’essayer et cela fonctionne toujours en une seule boîte. Je pense que c’est parce que le point de terminaison auth.pi-hole.net est une redirection d’URI à partir du point de terminaison OAuth sur github.com. Et nous préférerions ne pas bloquer github.com pour la fonction unebox.

Je vais vérifier et voir si bloquer github change quelque chose… Non, bloquer github.com n’empêche pas non plus la fonction unebox. Y a-t-il un cache que la fonction unebox pourrait utiliser et qui doit être vidé pour qu’une nouvelle recherche soit effectuée pour tricorder ?

nat · Février 17, 2022, 1:55

Oui, je comprends pourquoi.

Il y a un cache d’un jour pour les URL de onebox récupérées, donc refaire la cuisson du message manuellement (post.rebake!) après un jour empêcherait le oneboxing avec github.com bloqué.

Nous avons du travail en attente pour être plus intelligents concernant les redirections d’authentification, mais cela est limité à l’authentification pour les forums Discourse uniquement. Je pense que l’élargissement du paramètre pour autoriser également les sous-répertoires pourrait nous aider dans ce cas pour github : \u003chttps://github.com/login/oauth/authorize\u003e … Nous en discuterons en interne.

Il serait probablement également bon que le texte d’aide soit spécifique sur ce qui est réellement bloqué, peut-être un ajout : « Onebox suivra les redirections et ne bloquera que si la destination finale correspond à ce paramètre ».

sam · Février 17, 2022, 2:27

Idée folle… devrions-nous prendre en charge :

cache-control: no-store

La directive de réponse no-store indique que tous les caches, quels qu’ils soient (privés ou partagés), ne doivent pas stocker cette réponse.

GitHub dit spécifiquement… s’il vous plaît… ne me stockez pas…

Peut-être que onebox devrait le respecter… et ne pas le stocker.

Nous pourrions toujours en faire un réglage expérimental pour commencer et voir quel impact cela a.

L’aperçu devrait expliquer pourquoi nous ne faisons pas de onebox.

Note… nous utilisons no-store dans pas mal d’endroits, mais je pense que nous redirigeons dans ces cas, pourtant il y a cette légère complexité.

github.com/discourse/discourse

spec/requests/topics_controller_spec.rb

a0c65e91d


      
          it 'correctly renders canonicals' do
            get "/t/#{topic.id}", params: { slug: topic.slug }
          
            expect(response.status).to eq(200)
            expect(css_select("link[rel=canonical]").length).to eq(1)
            expect(response.headers["Cache-Control"]).to eq("no-cache, no-store")
          end

dschaper · Février 17, 2022, 8:15

Nous faisons le lien vers de nombreuses PR et problèmes à partir de nos différents dépôts et le fait que ces derniers soient prévisualisés dans des boîtes aide les nouveaux utilisateurs à comprendre le sujet sans avoir à se connecter à GitHub.

sam · Février 17, 2022, 8:56

Oui, je comprends tout à fait, nous travaillons sur une solution. Je pense que regarder l’en-tête « no store » un jour plus tard serait la meilleure approche.

dschaper · Février 28, 2022, 7:57

Désolé de déterrer ce sujet, mais cela affecte vraiment notre site de support. Les gens publient des liens vers l’URL du tricorder qui contiennent des journaux de dépannage que le personnel accrédité doit examiner. Nous recevons un certain nombre de ces publications par jour et nous devons intervenir manuellement et modifier l’URL en une non-lien pour le moment.

Avez-vous une idée du délai de résolution ou est-ce que ce sera « bientôt™ »

sam · Février 28, 2022, 8:21

Nous allons régler cela, je dirais dans les 4 prochaines semaines environ.

GreenOWL · Mars 10, 2022, 3:21

Comment faire cela dans Discourse Docker ?

sam · Mars 11, 2022, 12:22

Je recommande d’attendre notre correctif, nous avons une PR en cours :

github.com/discourse/discourse

FIX: Apply onebox blocked domain checks on every redirect

main ← fix/onebox-check-blocked-domain-on-redirect

opened 12:09AM - 10 Mar 22 UTC

OsamaSayegh

+171 -38

The `blocked onebox domains` setting lets site owners change what sites are all…owed to be oneboxed. When a link is entered into a post, Discourse checks the domain of the link against that setting and blocks the onebox if the domain is blocked. But if there's a chain of redirects, then only the final destination website is checked against the site setting. This commit amends that behavior so that every website in the redirect chain is checked against the site setting, and if anything is blocked the original link doesn't onebox at all in the post. The `Discourse-No-Onebox` header is also checked in every response and the onebox is blocked if the header is set to "1". Additionally, Discourse will now include the `Discourse-No-Onebox` header with every response if the site requires login to access content. This is done to signal to a Discourse instance that it shouldn't attempt to onebox other Discourse instances if they're login-only. Non-Discourse websites can also use include that header if they don't wish to have Discourse onebox their content. Internal ticket: t59305.

Elle modifie le comportement afin que :

Nous vérifions la liste de blocage à chaque saut dans une chaîne de redirection
Nous introduisons une nouvelle fonctionnalité permettant à n’importe quel site de refuser le oneboxing en définissant un en-tête client

Cela résoudra le problème de @dschaper et nous donnera plus de flexibilité à l’avenir.

Malheureusement, opter pour « no store » serait trop général et entraînerait trop de faux positifs.

Osama · Mars 11, 2022, 6:50

La PR a été fusionnée et se trouve dans la branche tests-passed. Pouvez-vous mettre à niveau @dschaper et voir si cela résout le problème ? Les URL avec le domaine tricorder.pi-hole.net ne devraient plus apparaître en un seul bloc sur votre site.

dschaper · Mars 14, 2022, 10:15

Tout semble bon ici !

Merci pour la correction à tous.

Sujet		Réponses	Vues
"blocked onebox domains" doesn't work Bug	5	529	Janvier 23, 2023
How can I stop onebox redirection? Feature	15	2030	Décembre 17, 2019
Allow sub-domains from blocked domain to onebox Support onebox	7	535	Octobre 13, 2023
Onebox no longer works for my wordpress site Support	12	1691	Juin 12, 2017
Disabling oneboxes Support	3	394	Janvier 23, 2023

le paramètre "blocked onebox domains" n'est pas respecté

Sujets connexes