セキュアな画像を使用するための推奨方法は？

satonotdead · 2023 年 6 月 11 日午前 12:22

セルフホストされたインスタンスでDiscourseにセキュアな画像を使用するための推奨される方法はありますか？

Discourse Encryptを使用しており、CSPディレクティブは自分で管理しています。

pfaffman · 2023 年 6 月 14 日午後 5:13

やり方はこちらです: Secure Uploads

satonotdead · 2023 年 6 月 14 日午後 10:35

ありがとうございます。しかし、S3は使用しておらず、リンクされたトピックとは全く異なるCSPポリシーについて質問しています。

pfaffman · 2023 年 6 月 14 日午後 11:26

画像URLを知っている人が誰でも画像にアクセスできないようにしたい場合は、そのトピックで説明されているようにAWS S3を使用する必要があります。

現状では、画像URLは推測するのがかなり難しいため、かなり安全です。

Discourseの暗号化がアップロードを安全にすると私は信じていません。

supermathie · 2023 年 6 月 14 日午後 11:41

PMではアップロードを暗号化できます。

pfaffman · 2023 年 6 月 15 日午前 12:41

いやはや、自分の知っていることは当てにならないものですね！メッセージ内のテキストに埋め込むのですか？以前から試してみたいと思っていました。

それで、OP（元の投稿者）への答えは何ですか？

satonotdead · 2023 年 6 月 15 日午後 3:42

私の質問を適切に詳しく説明できなかったのかもしれません。img-srcとdefault-src CSPディレクティブ（このプラグインを有効にするためにDiscourse管理で無効化）により、Encrypt Personal Messagesの設定に問題があります。

PMの暗号化なしでDiscourseでデフォルトで有効になっている設定があり、それを設定する必要があるのではないかと疑っています。

トピック		返信	表示
Spammers using uploaded images in spam e-mails. Any advice how to resolve? Support	9	335	2024 年 6 月 17 日
Secure Uploads Announcements secure-uploads	46	16703	2025 年 7 月 24 日
Personal Message attachments accessible to unauthenticated users (missing auth check) Support secure-uploads , personal-messages	1	50	2025 年 7 月 8 日
S3 Bucket objects restricted access policy as per Discourses groups Support	2	840	2021 年 10 月 1 日
Are the images published in the Staff category publicly visible? Support secure-uploads	2	28	2025 年 11 月 28 日