ich liebe die Plattform und suche nach Unterstützung bei der Steuerung von Remote-Inhaltsorten.
Zum Beispiel möchte ich verhindern, dass nicht vertrauenswürdige Ressourcen geladen werden. In einem Beispiel könnte ich ein JPG verwenden: Dieses hier " " ist zwar kein echtes JPG, aber alle Betrachter werden ihre IP-Adresse und – weniger wichtig – ihren User-Agent preisgeben.
Ich möchte nur hochgeladene Inhalte zulassen, die gerendert werden sollen, mit Ausnahme bestimmter Domains wie YouTube oder gängiger Online-Speicherplattformen.
Ist das mit der aktuellen Version von Discourse überhaupt möglich? Ich werde das Forum für Internetforensik nutzen, und es wäre perfekt für diesen Zweck, wenn es eine Möglichkeit gibt, diese PII-Lecks in Beiträgen und Profilinhalten zu beheben.
Vielen Dank!
Ich habe Canary Tokens verwendet, um das JPEG zu ‘fälschen’: http://canarytokens.com/, und es in das Markdown für ein Bild eingebettet.
Wir vermeiden Hotlinking, indem wir Kopien von externen Inhalten herunterladen; das Zeitfenster, in dem ein JPG gehotlinkt werden kann, ist sehr kurz.
Das heißt nicht, dass ich gegen eine Option in Discourse bin, die es uns ermöglicht, Bilder während des Downloads eines gehotlinkten Bildes durch einen Hinweis wie „Bild wird heruntergeladen
Hey Sam, danke für deine Zeit. Ich sehe den Ruby User-Agent in meinen Logs, aber wenn jemand mein Profil aufruft, bekomme ich die IP des Betrachters. Vielleicht ist das Abrufen bzw. die Middleware nicht für alle Bereiche der App global?
Ich schätze, eine Content-Security-Policy könnte das kurzfristig lösen, aber gleichzeitig wäre die UX ziemlich schlecht, während sie herausfinden, was los ist, haha.
Vielen Dank für deine Zeit und deine Gedanken dazu!
Hey Sam, das ist korrekt. In diesem Fall rufe ich ein Remote-Bild mit dem Markdown-Befehl ![]() auf – ich bin noch kein Power-User, daher bin ich mir nicht sicher, ob es andere unterstützte Möglichkeiten gibt, Remote-Inhalte aufzurufen. Probier es einfach aus; ich glaube, ich habe meines im Bereich ‘Über mich’ meines Profils platziert.
Ich denke, die Regel ‘Neue Benutzer können X nicht’ gilt für diesen Bereich nicht.
" ist zwar kein echtes JPG, aber alle Betrachter werden ihre IP-Adresse und – weniger wichtig – ihren User-Agent preisgeben.