Subidas Seguras

martin · 29 Enero, 2020 05:14

Añadido en la versión 2.4 de Discourse en febrero está la función de Cargas Seguras, que proporciona un mayor grado de seguridad para TODAS las cargas (imágenes, video, audio, texto, PDFs, ZIPs y otros) dentro de una instancia de Discourse.

Requisitos previos

Debes tener las cargas en S3 habilitadas en tu sitio, lo cual requiere que se completen los siguientes ajustes:

ID de clave de acceso de S3
Clave de acceso secreta de S3
Región de S3
Bucket de carga de S3

También debes estar utilizando un bucket de S3 que no tenga una política de bucket pública, y debes asegurarte de que todas las cargas existentes tengan una ACL de S3 de lectura pública. Consulta la sección “Habilitar Cargas Seguras” más abajo.

Una vez satisfechos estos requisitos previos, puedes habilitar el ajuste de sitio “cargas seguras”.

Habilitar Cargas Seguras

AQUÍ HAY DRAGONES

Esta es una función avanzada y el soporte fuera de nuestro nivel Enterprise será limitado como máximo. Solo habilita las cargas seguras si eres un usuario experto.

Para habilitar las cargas seguras, debes seguir estos pasos:

Asegúrate de tener las cargas en S3 configuradas.
Anota si tu bucket de S3 tiene una política de bucket pública. Si es así, se requiere un paso adicional (paso 4).
Ejecuta la tarea rake uploads:sync_s3_acls. Esto asegurará que todas tus cargas tengan la ACL correcta en S3. Esto es importante; si realizas el paso 4 antes de hacer esto, algunas cargas podrían volverse inaccesibles en tu foro.
Elimina la política de bucket pública de tu bucket si estaba presente en el paso 1.
Habilita el ajuste de sitio “cargas seguras”. Opcionalmente, habilita el ajuste de sitio “prevenir que los anónimos descarguen archivos” para detener a los usuarios anónimos de descargar adjuntos de publicaciones públicas. Todas las cargas a partir de este momento podrían marcarse como seguras dependiendo de las condiciones siguientes.
Si deseas que todas las cargas se analicen retroactivamente y posiblemente se marquen como seguras, ejecuta la tarea rake uploads:secure_upload_analyse_and_update.

Nota sobre la política del bucket S3

Debes asegurarte de que el bucket al que estás cargando no tenga una política de bucket pública. Una política de bucket pública tendrá algo como esto:

{
    "Version": "2012-10-17",
    "Id": "ComputedBucketPolicy",
    "Statement": [
        {
            "Sid": "AllowWorldRead",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::your-bucket-name/*"
        }
    ]
}

La parte importante aquí es que estamos permitiendo que * cualquier persona * obtenga objetos, lo que significa que cualquiera puede descargar cualquier cosa en el bucket. Esta etiqueta también mostrará si la política es pública:

Los ajustes aquí no deben modificarse. La imagen muestra el estado ideal para la pestaña “Bloquear acceso público”:

Qué hace

Una vez que hayas habilitado las Cargas Seguras, cualquier archivo cargado a través del Composer se marcará como seguro o no seguro según los siguientes criterios:

Si tienes habilitado el ajuste de sitio “inicio de sesión requerido”, todas las cargas se marcarán como seguras, y los usuarios anónimos no podrán acceder a ellas.
Si estás cargando algo dentro de un Mensaje Personal, se marcará como seguro.
Si estás cargando algo dentro de un Tema que está dentro de una Categoría privada, se marcará como seguro.

La carga en S3 tendrá una ACL privada, por lo que los enlaces directos al archivo en S3 devolverán un error 403 de acceso denegado. Cualquier y todo acceso a las cargas seguras será a través de una URL firmada por S3. Sin embargo, esto estará oculto para tus usuarios; si una carga es segura, cualquier referencia a ella se realizará a través de la URL de Discourse /secure-uploads/.

Permisos y control de acceso

La URL /secure-uploads/ determinará si el usuario actual tiene permiso para acceder al medio y lo servirá si es así. Cuando se crea la carga, la publicación en la que aparece por primera vez se establecerá como su “publicación de control de acceso” y todos los permisos se basarán en esa publicación.

Si tienes habilitado el ajuste de sitio “inicio de sesión requerido”, los usuarios anónimos siempre recibirán un error 404 al acceder a la URL.
Si accedes a un medio cuya publicación de control de acceso es un Mensaje Personal, el usuario debe ser parte de ese tema de Mensaje Personal para acceder al medio; de lo contrario, el usuario recibirá un error 403.
Si accedes a un medio cuya publicación de control de acceso está dentro de un tema que está dentro de una Categoría privada, el usuario debe tener acceso a esa categoría para acceder al medio; de lo contrario, el usuario recibirá un error 403.

Copiar URLs de /secure-uploads/ entre Publicaciones y Temas no es aconsejable, ya que diferentes usuarios tendrán diferentes niveles de acceso dentro de tus foros de Discourse. Las nuevas cargas siempre deben crearse a través del Composer. Las Oneboxes y las imágenes con enlaces directos también respetarán las reglas de cargas seguras. Los ajustes de sitio, emojis y cargas de temas no se ven afectados por las cargas seguras, ya que deben ser públicos.

Si se elimina una publicación de control de acceso, la carga adjunta ya no será accesible.

Mover publicaciones con cargas seguras

Si mueves una “publicación de control de acceso” entre diferentes contextos de seguridad, la carga adjunta podría cambiar a segura o no segura. Estas son las situaciones que pueden cambiar la seguridad de una carga:

Cambiar la categoría de un tema. Recorrerá todas las publicaciones del tema y actualizará el estado de seguridad de las cargas en consecuencia.
Cambiar un tema entre ser un tema público y un mensaje personal. Hará lo mismo que arriba.
Mover publicaciones de un tema a otro tema nuevo o existente. Ejecutará lo mismo que arriba en el tema de destino.

Cargas seguras en correos electrónicos

La incrustación de imágenes seguras en correos electrónicos está habilitada de forma predeterminada. Puedes configurar estos ajustes de sitio para un control adicional:

secure_uploads_allow_embed_images_in_emails: Deshabilita esto para omitir las imágenes seguras en los correos electrónicos.
secure_uploads_max_email_embed_image_size_kb: El límite máximo para el tamaño de la imagen segura que incrustaremos, con un valor predeterminado de 1 MB, para que el correo electrónico no se vuelva demasiado grande. El máximo es 10 MB. Funciona junto con email_total_attachment_size_limit_kb.

Las imágenes seguras se agregarán como archivos adjuntos de correo electrónico y se incrustarán utilizando el formato de URL cid: porque el soporte de URL base64 en los clientes de correo electrónico aún es inestable.

Si no tienes habilitado secure_uploads_allow_embed_images_in_emails, o si las imágenes comienzan a exceder los límites de tamaño, esto es lo que verás en lugar de las imágenes seguras (también audio y video seguros que no se incrustan):

Clientes alojados

Por el momento, las cargas seguras están disponibles solo para nuestros clientes del plan Enterprise. Por favor, contáctanos para más detalles.

codinghorror · 10 Marzo, 2020 18:31

There should probably be a lot of warnings around this feature @martin as it is an ADVANCED thing, not for the faint of , and there is a limit to how much we will support it outside our enterprise tier. Bring your own expertise…

sam · 20 Julio, 2020 22:02

La seguridad nunca tuvo la intención de cubrir avatares; este no es un caso de uso que hayamos planificado.

martin · 10 Agosto, 2020 09:43

Aviso: Configurar el bucket de S3 en “Bloquear todo el acceso público” no es correcto

@genachka @AntiMetaman @Hugh_Roberts @znedw @Thamer

Voy a modificar el mensaje original. Tras hablar con el miembro de nuestro equipo de infraestructura @schleifer, confirmé que fue un error aconsejar que se activara la configuración “Bloquear todo el acceso público”. Desactiva esta opción para tu bucket de S3 y luego ejecuta uploads:sync_s3_acls para asegurarte de que los ACL sean correctos; después, vuelve a intentarlo con los avatares personalizados.

Además, todos deben asegurarse de que el bucket al que están subiendo archivos no tenga una política de bucket pública. Una política de bucket pública tendrá algo como esto:

{
    "Version": "2012-10-17",
    "Id": "ComputedBucketPolicy",
    "Statement": [
        {
            "Sid": "AllowWorldRead",
            "Effect": "Allow",
            "Principal": "*",
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::your-bucket-name/*"
        }
    ]
}

Lo importante aquí es que estamos permitiendo que * realice GetObject, lo que significa permitir que cualquiera descargue cualquier objeto del bucket. Esta etiqueta también aparecerá si la política es pública:

Mis disculpas por esto. @AntiMetaman, ni @schleifer ni yo pudimos reproducir este error:

Sería útil si pudieras proporcionar más información sobre tu configuración de S3/AWS.

AntiMetaman · 10 Agosto, 2020 12:27

@martin Gracias. Mi problema no fue ese error, sino que los anónimos no podían acceder a la página. Si configuro el bucket de subida como privado, ese error desaparece y puedo subir archivos. No tengo la opción “Requerir inicio de sesión” activada en mi sitio.

Nunca tuve habilitada la opción “Bloquear todo el acceso público” en la configuración de mi bucket desde el principio. Si me estás diciendo que los anónimos aún deberían poder acceder a un tema, leerlo y ver imágenes seguras, entonces puedo intentarlo de nuevo. Si añadir seguridad a los medios impide que los anónimos vean esas imágenes, entonces preferiría solo asegurar los archivos adjuntos.

Si te ayuda, estoy usando BackBlaze B2 con BunnyCDN. Mis configuraciones del bucket de subida actualmente son públicas:

martin · 10 Agosto, 2020 23:50

Esa es la esencia, sí. Cualquier cosa que deba ser privada tendrá una ACL privada asignada y será inaccesible a menos que se utilice una URL firmada. Ten en cuenta que la política del bucket no es pública. Y sí, todas esas opciones de “Bloquear acceso público” deberían estar desmarcadas. Si te interesa saber cómo determinamos si una subida es segura, todas las reglas están aquí: discourse/lib/upload_security.rb at main · discourse/discourse · GitHub y aquí: discourse/app/models/post.rb at main · discourse/discourse · GitHub

No estoy familiarizado con BackBlaze, lo siento. No estoy seguro de cómo se traducirían las configuraciones mostradas a una política de bucket. Básicamente, no quieres que la política del bucket sea pública, y tampoco quieres activar “Bloquear todo el acceso público”. De esa manera, podemos asignar ACLs privadas y públicas de manera adecuada. Si no tienes la opción “requerir inicio de sesión” activada, cualquier subida realizada en un tema que no sea un mensaje privado ni esté en una categoría privada debería ser pública y accesible por anónimos. Las imágenes no deberían ser seguras en un tema accesible por anónimos.

riking · 11 Agosto, 2020 00:01

La implementación de medios seguros no es compatible con Backblaze. ¿Ofrecen soporte para URLs con firma previa?

AntiMetaman · 11 Agosto, 2020 00:13

@riking

Sí, las URLs con firma previa son compatibles: https://help.backblaze.com/hc/en-us/articles/360047815993-Does-the-B2-S3-Compatible-API-support-Pre-Signed-URLs-

@martin

Sí, cambiar el bucket de público a privado hace esto. Lo hice y me permitió subir archivos, pero como anónimo no pude ver los temas.

genachka · 11 Agosto, 2020 13:25

@martin gracias por la aclaración. Y puedo confirmar que, dejando la configuración en S3 como en mi captura de pantalla: Público y sin marcar ninguna casilla (como sugeriste), los avatares personalizados y las imágenes de perfil finalmente funcionan, mientras que las cargas protegidas en los temas siguen funcionando correctamente. ¡Gracias!

martin · 11 Septiembre, 2020 01:16

He fusionado esta PR esta semana y estoy agregando estos detalles al OP:

github.com/discourse/discourse

FEATURE: Allow email image embed with secure media (#10563)

master ← feature/allow-email-image-embed-with-secure-media

merged 11:50PM - 09 Sep 20 UTC

martin-brennan

+248 -98

This PR introduces a few important changes to secure media redaction in emails. …First of all, two new site settings have been introduced: * `secure_media_allow_embed_images_in_emails`: If enabled we will embed secure images in emails instead of redacting them. * `secure_media_max_email_embed_image_size_kb`: The cap to the size of the secure image we will embed, defaulting to 1mb, so the email does not become too big. Max is 10mb. Works in tandem with `email_total_attachment_size_limit_kb`. `Email::Sender` will now attach images to the email based on these settings. The sender will also call `inline_secure_images` in `Email::Styles` after secure media is redacted and attachments are added to replace redaction messages with attached images. I went with attachment and `cid` URLs because base64 image support is _still_ flaky in email clients. All redaction of secure media is now handled in `Email::Styles` and calls out to `PrettyText.strip_secure_media` to do the actual stripping and replacing with placeholders. `app/mailers/group_smtp_mailer.rb` and `app/mailers/user_notifications.rb` no longer do any stripping because they are earlier in the pipeline than `Email::Styles`. Finally the redaction notice has been restyled and includes a link to the media that the user can click, which will show it to them if they have the necessary permissions. ![image](https://user-images.githubusercontent.com/920448/92341012-b9a2c380-f0ff-11ea-860e-b376b4528357.png)

Si deseas permitir la incrustación de imágenes seguras en correos electrónicos, puedes configurar las siguientes opciones del sitio:

secure_media_allow_embed_images_in_emails: Si está habilitado, incrustaremos imágenes seguras en los correos electrónicos en lugar de censurarlas.
secure_media_max_email_embed_image_size_kb: Límite máximo para el tamaño de la imagen segura que se incrustará, con un valor predeterminado de 1 MB para evitar que el correo electrónico sea demasiado grande. El máximo es de 10 MB. Funciona junto con email_total_attachment_size_limit_kb.

Las imágenes seguras se agregarán como archivos adjuntos del correo electrónico y se incrustarán utilizando el formato de URL cid:, ya que el soporte de URLs en base64 en los clientes de correo aún es inestable.

Si no tienes habilitada la opción secure_media_allow_embed_images_in_emails o si las imágenes superan los límites de tamaño, esto es lo que verás en lugar de las imágenes seguras (también aplica para audio y video seguros que no se incrustan):

martin · 17 Septiembre, 2020 04:16

Añadido adicional a mi publicación anterior; desde este PR:

github.com/discourse/discourse

FEATURE: Default allow embed secure images in email to true (#10688)

master ← feature/enable-secure-image-embedding-in-email-by-default

merged 04:15AM - 17 Sep 20 UTC

martin-brennan

+4 -1

We are making the changes from the PR https://github.com/discourse/discourse/pul…l/10563 the default behaviour. Now, if secure media is enabled, secure images will be embedded in emails by default instead of redacting them and displaying a message. This will be a nicer overall experience by default, and for forums that want to be super strict with redaction this setting can always be disabled.

Ahora habilitamos por defecto la incrustación segura de imágenes multimedia.

gerald · 19 Septiembre, 2020 18:57

Después de configurar las cargas de medios seguras (siguiendo la guía del OP), todo funciona bien (archivos adjuntos, imágenes, etc.), excepto las cargas que no son adjuntos de temas (como el logotipo del sitio o el avatar del perfil), las cuales muestran un mensaje emergente de “Acceso denegado” en Discourse.
¿He configurado algo incorrectamente?

michaeld · 19 Septiembre, 2020 18:59

Por favor, lee el tema; tu problema se aborda en unos pocos mensajes anteriores a este.

gerald · 19 Septiembre, 2020 19:07

Lo he leído todo cuidadosamente. Por favor, indícame exactamente a qué te refieres con las pocas publicaciones anteriores. No veo este problema.
Edición:
Tratando de leer entre líneas, veo que este hilo solía ser más largo, pero se eliminaron algunas respuestas clave; veo referencias a respuestas que no existen y menciones de capturas de pantalla que no aparecen en el hilo.
Sin embargo, si entendí correctamente, la recomendación es configurar el bucket de S3 para que NO bloquee ningún acceso público. Solo quiero confirmar eso y preguntar si es seguro.

michaeld · 19 Septiembre, 2020 19:47

Correcto.

La publicación original efectivamente ha desaparecido, pero el problema y la solución siguen ahí.

gerald · 21 Septiembre, 2020 13:27

He notificado un error al usar medios seguros y https://meta.discourse.org/t/knowledge-base-plugin/115288. Los enlaces a archivos adjuntos en la base de conocimientos no se abren (redirigen a una página 404) a menos que se fuerce su apertura en una nueva ventana.

Lo más extraño es que el mismo archivo adjunto puede abrirse sin problemas desde el tema de Discourse asociado al elemento de la base de conocimientos.

Edición:
El mismo error ocurre cuando alguien copia un enlace a un archivo adjunto de una respuesta a otra. El enlace es exactamente el mismo, por supuesto, pero solo funciona desde la respuesta original, a menos que se fuerce su apertura en una nueva ventana.

sbernhard · 5 Noviembre, 2020 10:48

¿Qué pasa con los medios seguros si no se utiliza S3?
Actualmente parece que, si tienes el enlace directo al archivo subido, puedes descargar ese archivo sin iniciar sesión. Eso representa un problema de seguridad…

RGJ · 5 Noviembre, 2020 11:23

Los medios seguros requieren S3.
Esta función completa se desarrolló para hacer imposible compartir y acceder a enlaces directos.

mcaruanagalizia · 28 Diciembre, 2020 13:22

Esta es una excelente función. Gracias por desarrollarla. Minio, un reemplazo gratuito y directo para S3, no tiene soporte para ACL y nunca lo tendrá. Su argumento, que es válido, es que las ACL no son una función útil y afectan negativamente el rendimiento porque requieren una segunda operación de escritura. Las cargas de medios seguros funcionarán con Discourse: la tarea uploads:secure_upload_analyse_and_update fallará en el paso final, pero parece que puedes ignorarlo. Dicho esto, ¿hay alguna razón para que Discourse realice llamadas a ACL en absoluto?

martin · 4 Enero, 2021 00:06

Sí, porque el bucket de S3 es privado según la configuración del OP, las cargas no seguras necesitan tener su ACL establecida como pública, y las cargas seguras tendrán una ACL privada para que la URL de S3 pueda accederse directamente. No creo que tengamos planes por el momento de modificar cómo funciona esto; creo que habría bastante trabajo involucrado para evitar el uso de ACL en absoluto para reemplazos de S3.

Tema		Respuestas	Vistas
Set up file and image uploads to S3 Self-Hosting configuring , how-to	35	119917	25 Octubre 2025
S3 Bucket objects restricted access policy as per Discourses groups Support	2	857	1 Octubre 2021
Configure an S3 compatible object storage provider for uploads Self-Hosting configuring , reference , how-to , cdn	267	45447	31 Enero 2026
Minio: A header you provided implies S3 functionality that is not implemented Support	20	10157	5 Abril 2021
How the media in the posts look like when secure uploads are enabled? Support secure-uploads	6	308	28 Febrero 2023