Salut à tous, j’adore cette plateforme. Je cherche des conseils pour contrôler les emplacements du contenu distant.
Par exemple, je souhaite interdire le chargement de ressources non fiables. Dans un cas concret, je pourrais utiliser un fichier .jpg : celui-ci " " n’est pas vraiment un .jpg, mais tous les navigateurs qui le chargent révéleront leur adresse IP et, dans une moindre mesure, leur agent utilisateur.
Je voudrais autoriser uniquement le téléchargement de contenu destiné à être rendu, à l’exception de certains domaines comme YouTube ou des plateformes de stockage en ligne courantes.
Est-ce possible avec la version actuelle de Discourse ? Je vais utiliser ce forum pour des enquêtes de cybersécurité, et ce serait parfait si je pouvais remédier à cette fuite de données personnelles (PII) dans les liens de contenu et dans les profils.
Merci !
J’ai utilisé des canary tokens pour « falsifier » ce jpeg : http://canarytokens.com/ et je l’ai intégré dans du Markdown pour une image.
Nous évitons le hotlinking en téléchargeant des copies du contenu distant ; la fenêtre pendant laquelle les utilisateurs peuvent hotlinker une image JPG est très courte.
Cela dit, je ne suis pas opposé à l’idée d’ajouter une option sur Discourse permettant de remplacer les images par un message « téléchargement de l’image » pendant que nous téléchargeons une image hotlinkée.
Merci pour ton temps. Je vois bien l’agent utilisateur Ruby dans mes logs ici, mais si quelqu’un consulte mon profil, j’obtiens bien l’adresse IP du visiteur. Peut-être que le middleware de récupération n’est pas global à toutes les zones de l’application ?
Je suppose que la politique de sécurité du contenu (CSP) pourrait régler le problème à court terme, mais cela créerait une expérience utilisateur médiocre pendant qu’ils essaient de comprendre ce qui se passe, haha.
Merci encore pour ton temps et tes réflexions à ce sujet !
Salut Sam, c’est exact. Dans ce cas, j’insère une image distante en utilisant la commande Markdown ![]() — je ne suis pas encore un utilisateur avancé, donc je ne sais pas s’il existe d’autres méthodes prises en charge pour insérer du contenu distant. Mais tu peux essayer, je pense que j’ai placé la mienne dans l’espace « À propos de moi » de mon profil.
Je pense que la restriction « nouvel utilisateur ne peut pas X » ne s’applique pas non plus à cette zone.
" n’est pas vraiment un .jpg, mais tous les navigateurs qui le chargent révéleront leur adresse IP et, dans une moindre mesure, leur agent utilisateur.