Description du problème
Lors d’une évaluation de sécurité de notre forum Discourse personnalisé, nous avons découvert un problème potentiel d’authentification affectant les pièces jointes d’images téléchargées dans les messages privés.
Détails
-
API de téléchargement : /uploads.json
-
URL d’accès : /uploads/default/original/1X/{file_name}
-
Reproduction :
-
Un utilisateur télécharge une image dans un message privé (avec for_private_message=true).
-
L’image résultante est accessible via un lien direct par tout tiers (y compris les utilisateurs non connectés ou les utilisateurs en mode incognito).
-
Préoccupation de sécurité
-
Les images téléchargées dans les messages privés sont censées être confidentielles et uniquement accessibles aux participants de la conversation.
-
Cependant, tel qu’implémenté actuellement, toute personne disposant de l’URL directe peut télécharger ces fichiers, quel que soit son statut d’authentification ou d’autorisation.
Questions
-
Est-ce le comportement attendu dans l’implémentation actuelle de Discourse ?
-
Existe-t-il des paramètres ou des plugins recommandés pour garantir que les pièces jointes des messages privés soient correctement protégées et visibles uniquement par les utilisateurs autorisés ?
-
Ce problème a-t-il été discuté ou traité dans le projet Discourse en amont ?
-
Existe-t-il des meilleures pratiques pour sécuriser les téléchargements privés dans les déploiements Discourse ?
Merci de votre aide et de vos conseils sur cette importante préoccupation de sécurité !