Probleembeschrijving
Tijdens een beveiligingsbeoordeling van ons aangepaste Discourse-forum hebben we een potentieel authenticatieprobleem ontdekt dat van invloed is op afbeeldingsbijlagen die zijn geüpload in privéberichten.
Details
-
Upload API: /uploads.json
-
Toegang URL: /uploads/default/original/1X/{file_name}
-
Reproductie:
-
Gebruiker uploadt een afbeelding in een privébericht (met for_private_message=true).
-
De resulterende afbeelding is toegankelijk via een directe link door elke derde partij (inclusief niet-ingelogde gebruikers of gebruikers in incognitomodus).
-
Beveiligingszorg
-
Afbeeldingen die in privéberichten worden geüpload, worden verwacht vertrouwelijk te zijn en alleen toegankelijk voor de deelnemers van het gesprek.
-
Echter, zoals momenteel geïmplementeerd, kan iedereen met de directe URL deze bestanden downloaden, ongeacht de authenticatie- of autorisatiestatus.
Vragen
-
Is dit het beoogde gedrag in de huidige Discourse-implementatie?
-
Zijn er aanbevolen instellingen of plugins om ervoor te zorgen dat bijlagen van privéberichten correct worden beschermd en alleen zichtbaar zijn voor geautoriseerde gebruikers?
-
Is dit probleem besproken of aangepakt in het upstream Discourse-project?
-
Zijn er best practices voor het beveiligen van privé-uploads in Discourse-implementaties?
Bedankt voor uw hulp en advies over deze belangrijke beveiligingszorg!