Préoccupation concernant la confidentialité des données

Soutien
1

Bonjour, on m’a signalé certaines failles de sécurité et je souhaiterais les comprendre.

Liste des utilisateurs :
Tous les utilisateurs de la plateforme sont visibles sans être identifiés.
https://*domain*/directory_items.json?period=daily&order=posts_read

Détails d’un utilisateur :
Nous pouvons obtenir tous les détails d’un utilisateur sans être identifiés.
https://*domain*/users/*user*.json

Existe-t-il un moyen de limiter cette situation ou le niveau de détails utilisateurs accessibles publiquement ?
Je sais que si j’autorise uniquement les utilisateurs connectés, toutes ces informations sont bloquées.
Comment puis-je conserver certaines informations publiques tout en :

  • Limitant la possibilité d’obtenir la LISTE DES UTILISATEURS (toute la base de données) ?
2 « J'aime »
2

Après le commit ci-dessus, cocher l’option « Masquer mon profil public et les fonctionnalités de présence » dans Préférences → Interface bloque les routes RSS et JSON individuelles des utilisateurs.

image
image612×354 23.8 KB

Vous pouvez également décocher le paramètre du site « Activer le répertoire des utilisateurs » :arrow_down:

image
image734×199 13 KB

Cela vous aide-t-il ?

7 « J'aime »
3

Réponse très rapide. Merci @rishabh.
Je souhaiterais simplement que tu développes le premier point, car je ne suis pas expert en RSS / JSON :

  • Je comprends qu’il me suffit de reconstruire pour appliquer cette correction ?
  • Que signifie « bloquer les routes RSS et JSON pour chaque utilisateur » ?

Et quelques questions supplémentaires :

  • Existe-t-il une option pour cocher par défaut l’option « Masquer mon profil public et les fonctionnalités de présence » ?
  • Si je désactive l’annuaire, il est désactivé même pour les administrateurs. Je pense qu’il devrait être possible de limiter l’accès à l’annuaire des utilisateurs avec plus de granularité (les administrateurs et les modérateurs devraient toujours pouvoir y accéder, je crois).
  • J’ai coché « Masquer les profils des utilisateurs du public ». Mais les utilisateurs anonymes reçoivent toujours une liste d’utilisateurs, limitée mais une liste quand même. Il devrait y avoir une option pour bloquer tout accès aux informations personnelles et à la liste pour les utilisateurs ANONYMES. (Cela fait-il partie de ce que je manque dans votre correction ?)
2 « J'aime »
4

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.