問題の説明
カスタマイズされたDiscourseフォーラムのセキュリティ評価中に、プライベートメッセージ内でアップロードされた画像添付ファイルに影響を与える可能性のある認証の問題を発見しました。
詳細
-
アップロードAPI: /uploads.json
-
アクセスURL: /uploads/default/original/1X/{file_name}
-
再現手順:
-
ユーザーがプライベートメッセージで画像をアップロードします(for_private_message=true)。
-
結果の画像は、第三者(ログインしていないユーザーやシークレットモードのユーザーを含む)が直接リンク経由でアクセスできます。
-
セキュリティ上の懸念
-
プライベートメッセージでアップロードされた画像は機密情報であり、会話の参加者のみがアクセスできることが期待されます。
-
しかし、現在の実装では、直接URLを知っている人なら誰でも、認証または認可の状態に関係なく、これらのファイルをダウンロードできます。
質問
-
これは現在のDiscourse実装における意図された動作ですか?
-
プライベートメッセージの添付ファイルが適切に保護され、承認されたユーザーのみが表示できるようにするための推奨される設定やプラグインはありますか?
-
この問題は、アップストリームのDiscourseプロジェクトで議論または対処されましたか?
-
Discourseデプロイメントでプライベートアップロードを保護するためのベストプラクティスはありますか?
この重要なセキュリティ上の懸念について、ご協力とアドバイスをよろしくお願いいたします!