Hola, me han informado de algunas vulnerabilidades de seguridad y me gustaría entenderlas.
Lista de usuarios:
Todos los usuarios de la plataforma son visibles sin necesidad de identificarse. https://*domain*/directory_items.json?period=daily&order=posts_read
Detalles del usuario:
Podemos obtener todos los detalles del usuario sin identificarnos. https://*domain*/users/*user*.json
¿Existe alguna forma de limitar esta situación o el nivel de detalles de usuario accesibles públicamente?
Sé que si solo permito usuarios conectados, toda esta información queda bloqueada.
¿Cómo puedo mantener cierta información pública pero:
Limitar la posibilidad de obtener una LISTA DE USUARIOS (toda la base de datos)?
Tras el commit anterior, marcar la opción “Ocultar mi perfil público y las funciones de presencia” en Preferencias → Interfaz bloquea las rutas RSS y JSON individuales de los usuarios.
Respuesta muy rápida. Gracias @rishabh.
Solo me gustaría que ampliaras el primer punto, ya que no soy experto en RSS / JSON:
¿Entiendo correctamente que solo tengo que reconstruir para aplicar esta corrección?
¿Qué significa “bloquear las rutas individuales de RSS y JSON de los usuarios”?
Y algunas preguntas adicionales.
¿Existe una opción para marcar por defecto la opción “Ocultar mi perfil público y las funciones de presencia”?
Si desactivo el directorio, queda desactivado incluso para los administradores. Creo que debería haber una forma de limitar el acceso al directorio de usuarios con más granularidad (los administradores y moderadores deberían tener siempre acceso, en mi opinión).
He marcado “Ocultar los perfiles de usuario del público”. Pero los usuarios anónimos siguen recibiendo una lista de usuarios, una lista limitada pero una lista. Debería haber una opción para bloquear el acceso a la información personal y a las listas de todos los usuarios ANÓNIMOS. (¿Podría esto ser parte de lo que me estoy perdiendo en tu corrección?)
