Hilario
(Martinez)
1
こんにちは。セキュリティ上の脆弱性が報告されたため、その内容について理解したいと考えています。
ユーザー一覧:
特定されずに、プラットフォームのすべてのユーザーが閲覧可能です。
https://*domain*/directory_items.json?period=daily&order=posts_read
ユーザー詳細:
特定されずに、すべてのユーザー詳細情報を取得できます。
https://*domain*/users/*user*.json
この状況を制限するか、公にアクセス可能なユーザー情報のレベルを制限する方法はありますか?
ログインユーザーのみを許可すれば、これらの情報はすべてブロックされることは理解しています。
一部の公開情報を維持しつつ、以下を実現するにはどうすればよいでしょうか?
- ユーザー一覧(データベース全体)を取得する可能性を制限する
上記のコミット後、「マイプロフィールと存在情報の公開を非表示にする」オプションを「設定」→「インターフェース」で選択すると、個々のユーザーの RSS および JSON ルートがブロックされます。
また、「ユーザーディレクトリを有効にする」サイト設定のチェックを外すこともできます 
これで解決しますか?
Hilario
(Martinez)
3
非常に迅速な回答をありがとうございます、@rishabh。
最初の点について、RSS や JSON の専門家ではないため、もう少し詳しく説明していただけますでしょうか。
- この修正を適用するには、単に再ビルドするだけでよいのでしょうか?
- 「個々のユーザーの RSS および JSON ルートをブロックする」とはどういう意味でしょうか?
また、追加の質問があります。
- デフォルトで「公開プロフィールとプレゼンス機能の非表示」をチェックするオプションはありますか?
- ディレクトリを無効化すると、管理者であっても無効化されてしまいます。ユーザーディレクトリへのアクセスをより細かく制限する方法があるべきだと考えます(管理者とモデレーターは常にアクセスできるようにすべきだと思います)。
- 「ユーザープロフィールを一般から非表示にする」をチェックしましたが、匿名ユーザーには依然としてユーザーリスト(制限されたリストですが)が表示されます。匿名ユーザーが個人情報やリストにアクセスできないようにするオプションがあるべきです(これは私があなたの修正で見落としている部分かもしれません)。
