数据隐私担忧

Hilario · 2020 年6 月 4 日 08:16

您好，有人报告了一些安全漏洞，我想了解一下。

用户列表：
所有平台用户均可见，但无需身份验证。
https://*domain*/directory_items.json?period=daily&order=posts_read

用户详情：
我们可以在未进行身份验证的情况下获取所有用户的详细信息。
https://*domain*/users/*user*.json

是否有办法限制这种情况，或限制公开可访问的用户详情级别？
我知道如果只允许已登录用户访问，所有这些信息的访问都会被阻止。
如何在保留部分公开信息的同时：

rishabh · 2020 年6 月 4 日 08:52

在提交上述更改后，在“偏好设置” → “界面”中勾选“隐藏我的公开个人资料和状态功能”选项，可以阻止访问单个用户的 RSS 和 JSON 路由。

您还可以取消勾选“启用用户目录”站点设置

这有帮助吗？

Hilario · 2020 年6 月 4 日 09:17

回复非常迅速，谢谢 @rishabh。
我想请您详细说明第一点，因为我并非 RSS/JSON 专家：

此外还有一些补充问题：

是否有选项可以默认勾选“隐藏我的公开个人资料及在线状态功能”？
如果禁用目录，管理员也会被禁用。我认为应该有一种方法可以更细粒度地限制用户目录的访问权限（管理员和版主应始终拥有访问权限）。
我已勾选“向公众隐藏用户个人资料”。但匿名用户仍会收到用户列表，尽管列表有限，但毕竟还是列表。应该有一个选项可以阻止所有匿名用户访问个人信息和列表。（这是否是我在您的修复中遗漏的部分？）

话题		回复	浏览量
In a public Discourse instance, how do I make it impossible to list all users Support	10	1435	2021 年10 月 18 日
Is it possible to limit access to who can see all the users? Support user-directory	7	470	2024 年5 月 21 日
Is it a security violation to show a directory of users? Feature	59	7307	2015 年3 月 28 日
User directory only viewable when logged in Feature user-directory , completed	5	991	2023 年4 月 14 日
Is it possible to hide the user listing page Support user-directory	5	2486	2019 年6 月 2 日