Ciao, mi sono state segnalate alcune vulnerabilità di sicurezza e vorrei capirle meglio.
Elenco utenti:
Tutti gli utenti della piattaforma sono visibili senza necessità di identificazione https://*domain*/directory_items.json?period=daily&order=posts_read
Dettagli utente:
Possiamo ottenere tutti i dettagli degli utenti senza identificazione https://*domain*/users/*user*.json
Esiste un modo per limitare questa situazione o il livello di dettagli utente accessibili pubblicamente?
So che se consento l’accesso solo agli utenti registrati, tutte queste informazioni vengono bloccate.
Come posso mantenere alcune informazioni pubbliche ma:
Limitare la possibilità di ottenere l’ELENCO DEGLI UTENTI (tutto il database)?
Dopo il commit sopra indicato, selezionare l’opzione “Nascondi le mie funzionalità di profilo pubblico e presenza” in Preferenze → Interfaccia blocca le rotte RSS e JSON del singolo utente.
Risposta molto veloce. Grazie @rishabh.
Vorrei solo che tu approfondissi il primo punto, poiché non sono un esperto di RSS/JSON:
Ho capito che devo solo ricostruire per applicare questa correzione?
Cosa significa “bloccare le rotte RSS e JSON per i singoli utenti”?
E alcune domande aggiuntive.
C’è un’opzione per
spuntare di default “Nascondi il mio profilo pubblico e le funzioni di presenza”?
Se disabilito la directory, è disabilitata anche per gli amministratori. Credo che ci dovrebbe essere un modo per limitare l’accesso alla directory degli utenti con maggiore granularità (amministratori e moderatori dovrebbero poter avere sempre accesso, secondo me).
Ho selezionato “Nascondi i profili utente dal pubblico”. Ma gli utenti anonimi ricevono comunque una lista di utenti, una lista limitata ma pur sempre una lista. Dovrebbe esserci un’opzione per bloccare tutti gli utenti ANONIMI dall’accesso alle informazioni personali e all’elenco. (Forse questo fa parte di ciò che mi sfugge nella tua correzione?)
