Ciao a tutti, adoro la piattaforma e cerco indicazioni su come gestire le posizioni dei contenuti remoti.
Ad esempio, vorrei impedire il caricamento di risorse non attendibili. In un caso pratico, potrei usare un’immagine JPG: questo file " " non è effettivamente un JPG, ma tutti i visualizzatori riveleranno il loro indirizzo IP e, cosa meno importante, il proprio user agent.
Vorrei consentire solo il caricamento di contenuti destinati al rendering, con l’eccezione di alcuni domini come YouTube o piattaforme comuni di archiviazione online.
È possibile farlo con la versione attuale di Discourse? Userò il forum per l’informatica forense e sarebbe perfetto per lo scopo se esistesse un modo per risolvere questa fuga di dati personali (PII) in contesti come questo e nelle posizioni dei contenuti del profilo.
Grazie!
Ho utilizzato dei canary token per ‘fingere’ che si trattasse di un JPEG http://canarytokens.com/ e l’ho incorporato nel markdown come immagine.
Evitiamo il hotlinking scaricando copie dei contenuti remoti; la finestra temporale in cui gli utenti possono avere un JPG hotlinkato è molto breve.
Detto questo, non sono contrario all’idea di includere una sorta di opzione su Discourse che ci permetta di sostituire le immagini con un messaggio “immagine in download” mentre stiamo scaricando un’immagine hotlinkata.
Ciao Sam, grazie per il tuo tempo. Vedo l’user agent Ruby nei miei log qui, ma se qualcuno visualizza il mio profilo, ricevo l’IP del visitatore. Forse il fetching o il middleware non sono globali per tutte le aree dell’app?
Immagino che la Content Security Policy possa risolvere il problema nel breve termine, ma allo stesso tempo creerebbe un’esperienza utente scadente mentre cercano di capire cosa sta succedendo, haha.
Grazie per il tuo tempo e per i tuoi pensieri su questo!
Ciao Sam, è corretto, in questo caso richiamo un’immagine remota con il comando markdown ![]() - non sono ancora un utente esperto, quindi non sono sicuro se esistano altri metodi supportati per richiamare contenuti remoti, ma prova pure, penso di averla inserita nello spazio ‘Chi sono’ del mio profilo
Penso che la regola ‘i nuovi utenti non possono X’ non si applichi anche a quest’area.
" non è effettivamente un JPG, ma tutti i visualizzatori riveleranno il loro indirizzo IP e, cosa meno importante, il proprio user agent.