مرحبًا، تم الإبلاغ عن بعض الثغرات الأمنية وأود فهمها.
قائمة المستخدمين:
جميع مستخدمي المنصة مرئيون دون الحاجة إلى تحديد الهوية. https://*domain*/directory_items.json?period=daily&order=posts_read
تفاصيل المستخدم:
يمكننا الحصول على جميع تفاصيل المستخدم دون الحاجة إلى تحديد الهوية. https://*domain*/users/*user*.json
هل توجد طريقة للحد من هذا الوضع أو من مستوى تفاصيل المستخدم المتاحة للجمهور؟
أعلم أنه إذا سمحت فقط للمستخدمين المسجلين، فإن جميع هذه المعلومات تكون محجوبة.
كيف يمكنني الاحتفاظ ببعض المعلومات العامة ولكن:
الحد من إمكانية الحصول على قائمة المستخدمين (قاعدة البيانات بأكملها)؟
بعد الإلتزام المذكور أعلاه، يؤدي تحديد خيار “إخفاء ميزات الملف الشخصي والوجود العام” في التفضيلات → الواجهة إلى حظر مسارات RSS و JSON الخاصة بالمستخدم الفردي.
إجابة سريعة جدًا. شكرًا لك يا @rishabh.
أود فقط أن توسع في النقطة الأولى لأنني لست خبيرًا في RSS / JSON:
أفهم أنني بحاجة فقط إلى إعادة البناء لتطبيق هذا الإصلاح؟
ما معنى “حظر مسارات RSS و JSON لكل مستخدم على حدة”؟
وبعض الأسئلة الإضافية.
هل هناك خيار للتحقق افتراضيًا من خيار “إخفاء ملفي الشخصي العام وميزات التواجد”؟
إذا قمت بتعطيل الدليل، فهو معطل حتى للمسؤولين. أعتقد أنه يجب أن يكون هناك طريقة لتقييد الوصول إلى دليل المستخدمين بدقة أكبر (يجب أن يتمكن المسؤولون والمشرفون من الوصول دائمًا في رأيي).
لقد قمت بتفعيل خيار “إخفاء ملفات المستخدمين عن الجمهور”. لكن المستخدمين المجهولين لا يزالون يتلقون قائمة بالمستخدمين، قائمة محدودة لكنها لا تزال قائمة. يجب أن يكون هناك خيار لحظر جميع المستخدمين المجهولين من الوصول إلى المعلومات الشخصية والقوائم. (ربما يكون هذا جزءًا مما أفتقده في إصلاحك؟)
