Je pense que l’équipe Discourse pourrait faire un meilleur travail en matière de transparence sur les problèmes de sécurité. Le dernier indique simplement :
Cette bêta inclut une correction de sécurité pour des problèmes signalés par notre communauté et HackerOne 8.
Privilégier Loofah pour le traitement du HTML cuit
Et je n’ai pas été en mesure de trouver ledit rapport sur HackerOne.
Idéalement, la version inclurait un lien vers le rapport HackerOne ainsi que la gravité du problème de sécurité concerné.
Les informations sur la correction de sécurité sont volontairement peu détaillées. Les sites ne migrent pas tous à la même vitesse ; bien que nous souhaitions signaler qu’une correction de sécurité a été appliquée, nous ne voulons pas fournir de détails qui permettraient à des acteurs malveillants de l’exploiter facilement. La correction de sécurité est mentionnée dans le message de commit, vous pouvez donc toujours consulter notre dépôt GitHub pour voir les commits liés à la sécurité et examiner les modifications du code si vous le souhaitez.
Nous ne rendons pas nos rapports HackerOne publics. Bien que nous ayons précédemment autorisé les chercheurs en sécurité à demander la divulgation de leurs rapports, nous avons mis fin à cette pratique en raison des abus dont nous avons fait l’objet à plusieurs reprises après l’avoir fait.