هل يتوفر مخطط معماري أو شبكي لمنصة Discourse؟ أو هل توجد وثائق تناقش أمان Discourse؟ ما هي المنافذ المستخدمة؟ وما هي الخدمات؟ هل هناك أي شيء يمكن أن يقنع فريق مراجعة الأمان بأن Discourse خدمة آمنة ومناسبة لاستضافة مناقشات سرية؟
شكرًا لكم.
إعجاب واحد (1)
مرحبًا كريستي،
أهلاً بك في المجتمع.
إليك قائمة بالعملاء الذين يستخدمون ديسكورش. هناك العديد من الشركات المعروفة التي تثق بديسكورش. إذا كانت هذه الشركات تثق بديسكورش، فمن أنا لأشك في ذلك ؟
من ملفنا التوضيحي (README):
نحن نأخذ الأمان على محمل الجد في Discourse؛ فجميع أكوادنا مفتوحة المصدر بنسبة 100% ومراجعة من قبل الأقران. يرجى الاطلاع على دليل الأمان الخاص بنا للحصول على نظرة عامة على إجراءات الأمان في Discourse، أو إذا كنت ترغب في الإبلاغ عن مشكلة أمنية.
إعجاب واحد (1)
من المفيد معرفة وجود مجتمع مستخدمين كبير يستخدم Discourse. لكن هذا يذكرني بمشهد من مونتي بايثون حيث يبنيون مبنى شقق يحتوي على ممر من السكاكين الدوارة—“لا تقلق، ستكون بخير. اشترى آخرون نفس المنزل ولم نتلق حتى الآن شكوى واحدة.” أتساءل لماذا؟
أتفهم البنية العامة مع حاوية Docker، وRuby، وPostgreSQL، مع فتح منفذ واحد فقط افتراضيًا (80). ومع ذلك، أفكر أنه من بين آلاف العملاء، لا يمكن أن أكون أول من يقلق بشأن فهم القضايا الأمنية المحيطة بـ Discourse.
مرحبًا @cristy، راجع الصفحة التي ربط بها غيرارد. قد يثير اهتمامك أيضًا موقعنا Security brief | Discourse - Civilized Discussion.
لقد قرأت سابقًا دليل الأمان، والتزامكم بالأمان يقربنا من تحقيق الهدف إلى حد كبير. ومع ذلك، لا يتعمق الدليل في تحديد الخدمات المستخدمة بالضبط، أو المنافذ، أو كيفية اتصالها، أو نقاط الضعف، وما إلى ذلك. أحاول استنتاج ذلك بنفسي، لكن بما أنني لم أطور منصة Discourse، فمن السهل عليّ أن أغفل عن كامل البنية المعمارية ونقاط الحقن المحتملة فيما يتعلق بالأمان العام. إذا لم يكن هناك أي معلومات متاحة بسهولة، فسأحاول إعادة بناء البنية المعمارية بنفسي. ولكن إذا كان هناك شخص ما في قاعدة المستخدمين قد قام بالفعل بهذا العمل، فيرجى مشاركته.
حسناً، إذا كان Discourse يشير إلى كل هذا، فإنه يجعل نفسه عرضة للهجوم، حيث سيعرف المتسللون كيفية القيام بذلك.