Review patch: 0110-Don-t-leak-which-blog-has-been-logged-into-via-get_b.patch
Ci siamo scordati di includere questa patch tra quelle abilitate. Stavo guardando per capire se serve ancora, ed ho un po' di dubbi.
wp-includes/class-http.ph
è una classe che implementa un client HTTP. Non ho ben chiaro dove e quando venga usato. Di default, questo client HTTP usa come User-Agent (negli header della richiesta HTTP) WordPress/VERSIONE; URL DEL BLOG
. Credo che il commit log della patch sia fuorviante ("Don't leak which blog has been logged into via get_bloginfo()"), questa è una richiesta che fa il server, non il client dell'utente, per cui non c'è nessun "logged in".
Ora non so bene quando questo client venga usato (un rapido grep del codice di Wordpress, pare sia principalmente usata dai plugin). Non mi è neanche chiaro se sia veramente un problema avere il nome del blog nella richiesta HTTP nei casi in cui viene usata (dato che probabilmente ci sono altre informazioni che lo identificano dentro la richiesta stessa).
Opzione 1 è di buttare via tutto. Opzione 2, piuttosto che includere la patch, è di scrivere un filtro su http_headers_useragent
, che viene usato anche da altre parti (wp-includes/class-wp-xmlrpc-server.php
e wp-content/plugins/pubsubhubbub/includes/class-pubsubhubbub-publisher.php
), e fissare il valore dello User-Agent a qualcosa di generico (Wordpress/Version; https://noblogs.org
magari?).
Sono gradite opinioni.