En una instalación predeterminada de Discourse, el panel de registro solicita un correo electrónico. Indica que este correo electrónico “nunca se mostrará al público”. Sin embargo, al completar el proceso de registro y dar de alta al usuario, antes de que este tenga oportunidad de editar su perfil o realizar cualquier acción, la dirección de correo electrónico se utiliza para obtener un avatar de Gravatar.
Considero que esto constituye una filtración de información de identificación personal. Un avatar de Gravatar podría, en principio, correlacionarse con la identidad de una persona y, por tanto, con su dirección de correo electrónico. Aunque el usuario tiene la oportunidad de cambiar el avatar, es posible, en teoría, que alguien vea la cuenta y el avatar asociado antes de que el usuario haya hecho nada, utilizando la lista pública de “Usuarios”. El soporte de Gravatar es una excelente característica, pero el problema es que Discourse crea específicamente la expectativa de que la dirección de correo electrónico es privada mediante el lenguaje utilizado en el cuadro de registro: “nunca se mostrará al público”.
Creo que la mejor manera de solucionar esto sería modificar el texto del cuadro de registro para generar una expectativa diferente, o incluir una casilla de verificación/confirmación para “obtener avatar con Gravatar”.
Encontré este problema en los foros de Letsencrypt, pero tras realizar pruebas puedo confirmar que el mismo comportamiento ocurre en try.discourse.org y en este foro (meta.discourse.org).
No se puede definir “el público” como Gravatar, especialmente porque la solicitud va directamente del servidor al servidor de Gravatar a través de HTTPS cifrado. ¿Y no se utiliza el hash del correo electrónico?
Presumo que la información de identificación personal (PII) aquí es el contenido de la imagen en sí. Es posible que no desees que el público sepa quién eres al registrarte en un sitio de Discourse con tu dirección de correo electrónico, especialmente porque indica que tu correo electrónico será privado.
En otras palabras, me registro con un nombre de usuario aleatorio para proteger mi privacidad, pero uso mi dirección de correo electrónico habitual. Basándome en la frase “nunca mostrado al público”, no esperaría que mi imagen se vincule instantáneamente a esa cuenta para que cualquiera la vea.
Subiste tu imagen a Gravatar, asociada a tu correo electrónico, porque quieres que te acompañe a todas partes donde uses internet. Si no quieres que te siga, no la subas a Gravatar.
Un gravatar no es información de identificación personal (PII) por definición: es PII pública, que es una categoría distinta. La función hash es, por definición, unidireccional.
Cualquier persona que se tome en serio la privacidad no utiliza la misma dirección de correo electrónico en todas partes vinculada a un gravatar. Incluso el uso de direcciones con el método “plus” lo anula.
Las direcciones de correo electrónico también se consideran PII pública, ya que en algunos casos pueden revelar el género, la edad y la ubicación, además del nombre.
Como punto intermedio, ¿es demasiado complicado añadir una opción opcional para optar por no ser incluido (o sí) en la búsqueda de avatares en Gravatar?
El riesgo de seguridad estándar de la inversión de hashes y el riesgo de rastreo de visitantes de Gravatar se evitan en Discourse, ya que el servidor descarga realmente la imagen.
Si tienes varias direcciones de correo electrónico con el mismo avatar (como yo), no es posible determinar con cuál me registré en un foro a menos que seas Gravatar. Discourse no guarda ni publica un historial de avatares, por lo que la solución del usuario es bastante sencilla (volver a usar una letra o subir una nueva imagen). Además, siempre puedes subir manualmente el avatar de otra persona.
