Descrizione del problema
Durante una valutazione di sicurezza del nostro forum Discourse personalizzato, abbiamo scoperto un potenziale problema di autenticazione che interessa gli allegati immagine caricati nei messaggi privati.
Dettagli
-
API di caricamento: /uploads.json
-
URL di accesso: /uploads/default/original/1X/{file_name}
-
Riproduzione:
-
L’utente carica un’immagine in un messaggio privato (con for_private_message=true).
-
L’immagine risultante è accessibile tramite un link diretto da qualsiasi terza parte (inclusi utenti non autenticati o utenti in modalità incognito).
-
Preoccupazione per la sicurezza
-
Le immagini caricate nei messaggi privati dovrebbero essere riservate e accessibili solo ai partecipanti della conversazione.
-
Tuttavia, come attualmente implementato, chiunque disponga dell’URL diretto può scaricare questi file, indipendentemente dallo stato di autenticazione o autorizzazione.
Domande
-
Questo è il comportamento previsto nell’attuale implementazione di Discourse?
-
Ci sono impostazioni o plugin consigliati per garantire che gli allegati dei messaggi privati siano adeguatamente protetti e visibili solo agli utenti autorizzati?
-
Questo problema è stato discusso o affrontato nel progetto Discourse upstream?
-
Ci sono best practice per proteggere i caricamenti privati in installazioni di Discourse?
Grazie per il vostro aiuto e consiglio su questa importante preoccupazione per la sicurezza!