In un’installazione predefinita di Discourse, il pannello di registrazione richiede un indirizzo email. Viene specificato che questa email è “mai mostrata al pubblico”. Tuttavia, al termine del flusso e dopo la registrazione, prima ancora che l’utente abbia la possibilità di modificare il proprio profilo o compiere qualsiasi azione, l’indirizzo email viene utilizzato per recuperare un avatar da Gravatar.
Considero questo un leak di informazioni identificative personali. Un Gravatar potrebbe, in linea di principio, essere correlato all’identità di una persona e quindi al suo indirizzo email. L’utente ha la possibilità di cambiare l’avatar, ma è teoricamente possibile che qualcuno veda l’account e l’avatar associato prima che l’utente abbia fatto qualsiasi cosa, utilizzando l’elenco pubblico “Utenti”. Il supporto per Gravatar è un’ottima funzionalità, ma il problema è che Discourse crea specificamente l’aspettativa che l’indirizzo email sia privato, utilizzando un linguaggio nella casella di registrazione stessa: “mai mostrata al pubblico”.
Penso che il modo migliore per risolvere il problema sia modificare il testo della casella di registrazione per creare un’aspettativa diversa, oppure aggiungere una casella di spunta o una conferma per “recuperare l’avatar con Gravatar”.
Ho riscontrato questo problema sui forum di Letsencrypt, ma tramite test posso confermare che lo stesso comportamento si verifica su try.discourse.org e su questo forum (meta.discourse.org).
Non puoi definire ‘il pubblico’ come Gravatar, specialmente perché la richiesta avviene direttamente dal server a un server Gravatar, tramite HTTPS crittografato. E non viene forse utilizzato l’hash dell’indirizzo email?
Presumo che i dati personali (PII) in questione siano il contenuto dell’immagine stessa. Potresti non voler che il pubblico sappia chi sei quando ti iscrivi a un sito Discourse con il tuo indirizzo email, soprattutto perché viene specificato che la tua email rimarrà privata.
In altre parole, mi iscrivo con un nome utente casuale per proteggere la mia privacy, ma utilizzo il mio indirizzo email abituale. Sulla base della dicitura “mai mostrata al pubblico”, non mi aspetterei che la mia immagine venga immediatamente associata a quell’account e resa visibile a chiunque.
Hai caricato la tua immagine su Gravatar, associata al tuo indirizzo email, perché vuoi che ti segua ovunque tu utilizzi Internet. Se non vuoi che ti segua, non caricarla su Gravatar.
Un gravatar non è per definizione un dato personale identificativo (PII) – è un PII pubblico, che costituisce una categoria a parte. L’hash, per definizione, è unidirezionale.
Chiunque sia serio riguardo alla privacy non utilizza lo stesso indirizzo email ovunque, collegato a un gravatar. Anche l’uso dell’indirizzamento con il simbolo “+” lo rende inefficace.
Gli indirizzi email sono considerati PII pubblici, poiché in alcuni casi possono rivelare genere, età e posizione geografica, oltre al nome.
Il rischio di sicurezza standard legato al reverse engineering degli hash e al tracciamento dei visitatori tramite Gravatar è evitato in Discourse, poiché il server scarica effettivamente l’immagine.
Se hai più indirizzi email associati allo stesso avatar (come nel mio caso), non è possibile capire con quale di essi ti sei registrato a un forum, a meno che tu non sia Gravatar. Discourse non conserva né pubblica una cronologia degli avatar, quindi la soluzione alternativa per l’utente è abbastanza semplice (tornare all’immagine con la lettera iniziale o caricare una nuova immagine). Inoltre, è sempre possibile caricare manualmente l’avatar di qualcun altro.
Questo non sembra un attacco affidabile da eseguire.
