Здравствуйте, мне сообщили о некоторых уязвимостях безопасности, и я хотел бы в них разобраться.
Список пользователей:
Все пользователи платформы видны без необходимости идентификации. https://*domain*/directory_items.json?period=daily&order=posts_read
Детали пользователя:
Мы можем получить все данные о пользователе без идентификации. https://*domain*/users/*user*.json
Есть ли способ ограничить эту ситуацию или уровень детализации данных пользователей, доступных публично?
Я знаю, что если разрешить доступ только авторизованным пользователям, вся эта информация будет заблокирована.
Как можно сохранить часть публичной информации, но при этом:
Ограничить возможность получения СПИСКА ПОЛЬЗОВАТЕЛЕЙ (всё содержимое базы данных)?
После вышеуказанного коммита выбор опции «Скрыть мой публичный профиль и функции присутствия» в разделе Настройки → Интерфейс блокирует индивидуальные пользовательские маршруты RSS и JSON.
Очень быстрый ответ. Спасибо, @rishabh.
Я бы хотел, чтобы вы подробнее разъяснили первый пункт, так как я не эксперт в RSS/JSON:
Я правильно понимаю, что мне нужно просто пересобрать проект, чтобы применить это исправление?
Что означает «заблокировать индивидуальные маршруты RSS и JSON для пользователя»?
И ещё несколько дополнительных вопросов:
Есть ли возможность по умолчанию отмечать опцию «Скрыть мой публичный профиль и функции присутствия»?
Если я отключаю каталог, он отключается даже для администраторов. Я считаю, что должен быть способ ограничить доступ к каталогу пользователей с большей детализацией (администраторы и модераторы, как мне кажется, должны всегда иметь доступ).
Я включил опцию «Скрыть профили пользователей от публичного доступа». Однако анонимные пользователи всё ещё получают список пользователей — ограниченный, но всё же список. Должна быть возможность полностью блокировать анонимным пользователям доступ к личной информации и спискам. (Возможно, это часть того, что я упустил в вашем исправлении?)
