Acredito que a equipe do Discourse poderia fazer um trabalho melhor em termos de transparência sobre questões de segurança. O último apenas menciona:
Esta versão beta inclui uma correção de segurança para problemas relatados pela nossa comunidade e pelo HackerOne 8.
- Preferir o Loofah para processar HTML cozido
E não consegui encontrar o referido relatório no HackerOne.
Idealmente, a versão incluiria um link para o relatório do HackerOne e a gravidade do problema de segurança em questão.
Olá @core,
As informações sobre a correção de segurança são intencionalmente não detalhadas. Os sites atualizam em velocidades diferentes; embora queiramos informar que houve uma correção de segurança, não queremos fornecer detalhes que permitam que agentes maliciosos a explorem facilmente. A correção de segurança está descrita na mensagem do commit, então você sempre pode consultar nosso repositório no GitHub para ver os commits relacionados a segurança e examinar as alterações no código, se desejar.
Não tornamos nossos relatórios do HackerOne públicos. Embora anteriormente permitíssemos que hackers solicitassem a divulgação de seus relatórios, devido aos abusos recebidos após fazê-lo em várias ocasiões, descontinuamos essa prática.
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.