Maggiore trasparenza sulla gravità dei problemi di sicurezza

core · 2 Aprile 2021, 12:34pm

Credo che il team di Discourse potrebbe fare un lavoro migliore in termini di trasparenza riguardo alle questioni di sicurezza. L’ultimo dice solo:

Questa beta include una correzione di sicurezza per problemi segnalati dalla nostra community e da HackerOne 8.

Preferire Loofah per l’elaborazione dell’HTML elaborato

E non sono riuscito a trovare il relativo report su HackerOne.

Idealmente, il rilascio includerebbe un link al report di HackerOne e la gravità della questione di sicurezza in questione.

jomaxro · 2 Aprile 2021, 2:55pm

Ciao @core,

Le informazioni sulla correzione di sicurezza sono volutamente poco dettagliate. I siti vengono aggiornati a velocità diverse; mentre vogliamo comunicare che è stata effettuata una correzione di sicurezza, non vogliamo fornire dettagli per evitare che attori malevoli possano sfruttarla facilmente. La correzione di sicurezza è contenuta nel messaggio di commit, quindi puoi sempre consultare il nostro repository GitHub per visualizzare i commit relativi alla sicurezza e vedere le modifiche al codice, se lo desideri.

Non rendiamo pubblici i nostri report di HackerOne. Sebbene in passato permettessimo agli hacker di richiedere la divulgazione dei loro report, a causa degli abusi ricevuti dopo averlo fatto in diverse occasioni, abbiamo interrotto questa pratica.

Argomento		Risposte	Visualizzazioni
Security issues from automated scans Support	2	129	Ottobre 15, 2024
Security report from third-party researcher Support	9	169	Novembre 27, 2025
Any release notes (not just commit log) available? Support	6	998	Aprile 23, 2019
Responsible Disclosure Support	5	1222	Ottobre 29, 2018
3.0.0.beta16: Security release Announcements release-notes	0	1578	Gennaio 5, 2023

Maggiore trasparenza sulla gravità dei problemi di sicurezza

Argomenti correlati