O uso de URLs "não" na página de Termos de Serviço

LogoiLab · Dezembro 13, 2021, 6:19am

Encontrei um problema potencialmente preocupante na página de Termos de Serviço em todas as instalações do Discourse (incluindo try.discourse.org).

A seção ToS 7. Conteúdo Publicado em Outros Sites contém links para non-currentdomain.tld. Esses links são clicáveis porque são analisados como qualquer outra postagem.

Isso permite o “domain-squatting” de non-currentdomain.tld não registrado em alguns casos. Um bom exemplo disso é https://forum.openwrt.org/tos#5.

Como prova, registrei non-openwrt.org.

Você pode ver minha “detalhada” explicação aqui: ComputeCode - Non-OpenWrt.

Não considerei este bug digno de uma recompensa de segurança. Mas se você gostaria que isso fosse submetido como uma, por favor me avise.

itsbhanusharma · Dezembro 13, 2021, 6:54am

Não consigo reproduzir isso em uma nova instalação. Parece que isso só está disponível em sites da era Pré-GDPR que foram configurados com modelos antigos de política de privacidade e termos de serviço.

Tópico		Respostas	Visualizações
Settings/Legal alternative URLs are being ignored after update Bug	13	1180	8 de Agosto de 2022
Pre seeded posts all missing - Missing Terms of Service, FAQ and Privacy pages Support	36	3332	26 de Junho de 2020
Left-clicking same-domain links to URLs not on the whitelist is broken Feature	7	3101	17 de Janeiro de 2017
Require_accept_tos_for_new_users options Dev	4	73	9 de Março de 2025
Removing the /2, /3, /4, etc links for each reply within a topic URL Dev seo	33	4111	13 de Outubro de 2024

O uso de URLs "não" na página de Termos de Serviço

Tópicos relacionados