תיאור הבעיה
במהלך הערכת אבטחה של פורום ה-Discourse המותאם אישית שלנו, גילינו בעיית אימות פוטנציאלית המשפיעה על קבצי תמונה המועלים בהודעות פרטיות.
פרטים
-
API להעלאה: /uploads.json
-
כתובת גישה: /uploads/default/original/1X/{file_name}
-
שחזור:
-
משתמש מעלה תמונה בהודעה פרטית (עם for_private_message=true).
-
ניתן לגשת לתמונה המתקבלת באמצעות קישור ישיר על ידי כל צד שלישי (כולל משתמשים שלא מחוברים או משתמשים במצב גלישה בסתר).
-
חשש אבטחתי
-
מצופה שתמונות המועלות בהודעות פרטיות יהיו חסויות ונגישות רק למשתתפים בשיחה.
-
עם זאת, כפי שמומש כעת, כל מי שיש לו את ה-URL הישיר יכול להוריד קבצים אלה, ללא קשר למצב האימות או ההרשאה.
שאלות
-
האם זה ההתנהגות המיועדת ביישום ה-Discourse הנוכחי?
-
האם יש הגדרות או תוספים מומלצים כדי להבטיח שקבצים מצורפים להודעות פרטיות מוגנים כראוי ונגישים רק למשתמשים מורשים?
-
האם הבעיה הזו נדונה או טופלה בפרויקט ה-Discourse הראשי?
-
האם יש שיטות עבודה מומלצות לאבטחת העלאות פרטיות בפריסות Discourse?
תודה על עזרתכם ועצתכם בנוגע לחשש אבטחתי חשוב זה!