При стандартной установке Discourse панель регистрации запрашивает адрес электронной почты. Указывается, что этот адрес «никогда не отображается публично». Однако после завершения процесса регистрации и создания аккаунта, ещё до того, как пользователь получит возможность отредактировать свой профиль или совершить какие-либо действия, адрес электронной почты используется для получения аватара через Gravatar.
Я считаю это утечкой персонально идентифицирующей информации. Аватар Gravatar, в принципе, может быть сопоставлен с личностью человека и, следовательно, с его адресом электронной почты. У пользователя есть возможность изменить аватар, но теоретически кто-то может увидеть аккаунт и привязанный к нему аватар до того, как пользователь что-либо сделает, используя публичный список «Пользователи». Поддержка Gravatar — отличная функция, но проблема в том, что Discourse конкретно создаёт ожидание конфиденциальности адреса электронной почты, используя формулировки в самой панели регистрации: «никогда не отображается публично».
Я считаю, что лучший способ исправить это — либо изменить текст в панели регистрации, чтобы сформировать иное ожидание, либо добавить флажок/подтверждение для опции «получать аватар через Gravatar».
Я столкнулся с этим на форуме Letsencrypt, но в ходе тестирования могу подтвердить, что такое же поведение наблюдается на try.discourse.org и на этом форуме (meta.discourse.org).
Нельзя определять «общественность» как Gravatar, особенно учитывая, что запрос отправляется напрямую с сервера на сервер Gravatar через зашифрованный HTTPS. Разве не используется хэш электронной почты?
Я предполагаю, что здесь под ПДн (PII) подразумевается само содержимое изображения. Возможно, вы не хотите, чтобы публика знала, кто вы, при регистрации на сайте Discourse с вашим адресом электронной почты, особенно с учётом того, что указано, будто ваш email будет конфиденциальным.
Другими словами, я регистрируюсь под каким-то случайным именем пользователя, чтобы защитить свою конфиденциальность, но использую свой обычный адрес электронной почты. Исходя из фразы «никогда не показывается публике», я не ожидаю, что моё изображение будет мгновенно связано с этой учётной записью и станет доступно для просмотра кем угодно.
Вы загрузили своё изображение в Gravatar, привязав его к вашему email, потому что хотите, чтобы оно следовало за вами везде, где вы используете интернет. Если вы не хотите, чтобы оно следовало за вами, не загружайте его в Gravatar.
Граватар по определению не является ПИИ — это публичные ПИИ, что представляет собой отдельную категорию. Хеш по определению является односторонним.
Любой, кто серьезно относится к конфиденциальности, не использует один и тот же адрес электронной почты повсюду, связанный с граватаром. Даже использование плюс-адресации делает это неэффективным.
Адреса электронной почты также считаются публичными ПИИ, так как в некоторых случаях они могут раскрывать пол, возраст и местоположение, а также имя.
Стандартный риск безопасности, связанный с обращением хешей, и риск отслеживания посетителей через Gravatar в Discourse отсутствуют, так как сервер фактически загружает изображение.
Если у вас несколько адресов электронной почты с одним и тем же аватаром (как у меня), невозможно определить, к какому форуму вы зарегистрировались, если вы не Gravatar. Discourse не хранит и не публикует историю аватаров, поэтому обходное решение для пользователя довольно простое: вернуться к использованию буквы или загрузить новое изображение. Кроме того, вы всегда можете вручную загрузить чужой аватар.
