Bonjour ! Discourse 3 a-t-il une solution aux anciens problèmes de sécurité avec Onebox ? Je veux dire des options dans les paramètres pour permettre la génération d’aperçus d’URL uniquement pour les domaines de confiance comme YouTube, Twitter, Vimeo.
Car sans ce paramètre, Onebox peut afficher l’adresse IP d’origine, c’est un cadeau pour les attaquants DDoS.
Exemple, collez ce lien : https://maper.info/21TcY1.jpg
Et où se trouve le bouton dans le compositeur avec le code formaté ?
Désactiver enable inline onebox on all domains (activer le onebox inline sur tous les domaines) permettra d’atteindre exactement cet objectif. Vous configurez les domaines approuvés via le paramètre du site inline_onebox_domain_allowlist (liste d’autorisation de domaines pour le onebox inline).
C’est faux, pas du tout.
Si votre communauté attire des attaques DDoS, vous devez prendre plusieurs mesures pour éviter que votre adresse IP ne fuite via le DNS, le SMTP, ainsi que via les boîtes et les images externes (qui sont téléchargées par défaut).
À moins que vous n’ayez des antécédents d’attaques DDoS, je vous recommande de vous soucier de presque tout le reste.
