¡Hola a todos! Me encanta la plataforma. Estoy buscando orientación sobre cómo controlar las ubicaciones de contenido remoto.
Por ejemplo, quiero prohibir la carga de recursos no confiables. En un caso práctico, podría usar una imagen jpg; esta " " en realidad no es un jpg, pero todos los visores revelarán su dirección IP y, menos importante, su agente de usuario.
Me gustaría permitir solo la carga de contenido que vaya a ser renderizado, con la excepción de algunos dominios como YouTube o plataformas comunes de almacenamiento en línea.
¿Es esto posible con la versión actual de Discourse? Voy a utilizar el foro para informática forense y sería perfecto para este propósito si existe una forma de remediar esta fuga de información de identificación personal (PII) en ubicaciones de contenido como esta y en los perfiles.
¡Gracias!
Utilicé tokens canario para ‘falsificar’ el jpeg: http://canarytokens.com/ y lo envolví en el markdown para una imagen.
Evitamos el hotlinking descargando copias del contenido remoto; la ventana en la que las personas pueden tener un JPG hotlinked es muy pequeña.
Dicho esto, no me opongo a que haya alguna opción en Discourse que nos permita reemplazar las imágenes con un mensaje de “descargando imagen” mientras estamos en el proceso de descargar una imagen hotlinked.
¡Hola Sam! Gracias por tu tiempo. Puedo ver el agente de usuario de Ruby en mis registros aquí, pero si alguien ve mi perfil, sí obtengo la IP del visitante. ¿Quizás la función de obtención o el middleware no son globales para todas las áreas de la aplicación?
Supongo que la política de seguridad de contenido podría solucionar esto a corto plazo, pero al mismo tiempo, sería una experiencia de usuario terrible mientras averiguan qué está pasando, ja ja.
¡Gracias por tu tiempo y tus comentarios al respecto!
¡Hola Sam, eso es correcto! En este caso, invoco una imagen remota con el comando de Markdown ![](). Todavía no soy un usuario avanzado, así que no estoy seguro de si hay otras formas compatibles de invocar contenido remoto, pero pruébalo. Creo que la mía la coloqué en el espacio ‘Sobre mí’ de mi perfil.
Creo que la restricción ‘nuevo usuario no puede X’ tampoco aplica a esta área.
" en realidad no es un jpg, pero todos los visores revelarán su dirección IP y, menos importante, su agente de usuario.