Olá, fui informado sobre algumas falhas de segurança e gostaria de entendê-las melhor.
Lista de Usuários:
Todos os usuários da plataforma são visíveis sem necessidade de identificação. https://*domain*/directory_items.json?period=daily&order=posts_read
Detalhes do Usuário:
Podemos obter todos os detalhes dos usuários sem precisar estar identificados. https://*domain*/users/*user*.json
Existe alguma maneira de limitar essa situação ou o nível de detalhes dos usuários acessíveis publicamente?
Sei que, se eu permitir apenas usuários logados, todas essas informações ficam bloqueadas.
Como posso manter algumas informações públicas, mas:
Limitar a possibilidade de obter a LISTA DE USUÁRIOS (todo o banco de dados)?
Após o commit acima, marcar a opção “Ocultar meu perfil público e recursos de presença” em Preferências → Interface bloqueia as rotas individuais de RSS e JSON do usuário.
Resposta muito rápida. Obrigado, @rishabh.
Gostaria apenas que você esclarecesse o primeiro ponto, pois não sou especialista em RSS/JSON:
Entendo que preciso apenas reconstruir para aplicar essa correção?
O que significa “bloquear as rotas individuais de RSS e JSON do usuário”?
E algumas perguntas adicionais.
Existe uma opção para marcar por padrão a opção “Ocultar meu perfil público e recursos de presença”?
Se eu desativar o diretório, ele fica desativado mesmo para administradores. Acho que deveria haver uma maneira de limitar o acesso ao diretório de usuários com mais granularidade (administradores e moderadores deveriam ter sempre acesso, na minha opinião).
Marquei “Ocultar perfis de usuários do público”. Mas usuários anônimos ainda recebem uma lista de usuários, uma lista limitada, mas ainda assim uma lista. Deveria haver uma opção para bloquear todos os usuários ANÔNIMOS de acessar informações pessoais e listagens. (Talvez isso faça parte do que estou perdendo na sua correção?)
