En mi caso, me llegan solicitudes automatizadas de “restablecimiento de contraseña”. Dado que todo, excepto mi nombre de usuario, es privado en mi instancia, la página /about es el único lugar donde los bots pueden obtener mi nombre de usuario y realizar una solicitud de restablecimiento de contraseña.
No es un gran problema en general, pero estoy usando Discourse para un proyecto pequeño y estoy usando correos electrónicos transaccionales de nivel gratuito: puede parecer una tontería, pero las solicitudes automatizadas cuentan para la cuota.
En general, me gustaría ocultar todos los datos relacionados con el usuario y el contenido del mundo exterior (incluidos los bots). Me parece que la página “acerca de” es lo único que no tengo (fácil) control.
¿Cuál es tu configuración? ¿Pueden los usuarios no registrados ver el foro sin iniciar sesión y todas las categorías son privadas?
Me pregunto a qué te refieres con “todo es privado” ya que la página /about no es accesible si está habilitado “se requiere inicio de sesión”.
¡JA! Esa me la perdí Probablemente configuré mal mi instancia: eso no estaba marcado, pero restringí la visibilidad de usuarios, grupos y categorías del público. Gracias, supongo que mi caso de uso está cubierto.
Hola @ale-re y bienvenido a meta. He movido tu publicación a un tema propio para que podamos examinarla un poco más de cerca. ¿Cuántas solicitudes de restablecimiento de contraseña estás viendo? ¿Es solo tu cuenta la que está siendo atacada?
Lo que describes parece un poco extraño porque no hay ningún beneficio particular para los bots al solicitar un restablecimiento de contraseña, ya que solo envía un correo electrónico al propietario de la cuenta.
Creo que cuando la configuración del sitio hide_email_address_taken está habilitada, solo puedes restablecer la contraseña introduciendo la dirección de correo electrónico. En este caso, conocer el nombre de usuario ya no ayuda. Esta configuración se habilitó recientemente por defecto. Si aún no está habilitada, habilitarla podría ser útil para prevenir los restablecimientos.
También limitamos la velocidad de todo, por lo que la probabilidad de que esto se convierta en un problema abrumador es bastante pequeña, incluso si alguien quisiera ser realmente molesto.
Por favor, háznoslo saber @ale-re si puedes recordar cuántos correos electrónicos no deseados de restablecimiento de contraseña aparecieron en tu bandeja de entrada.
Hola,
disculpa la demora en responder. De hecho, no fue un problema real, solo una molestia. Una vez que habilité la opción “inicio de sesión requerido”, ya no vi solicitudes de restablecimiento de contraseña, pero supongo que el número era de unas pocas decenas desde que se configuró el foro (unos días, en ese momento). No tengo la cifra exacta.
Probablemente configuré mal mi instancia: eso no estaba marcado, pero restringí la visibilidad de usuarios, grupos y categorías del público. Gracias, supongo que mi caso de uso está cubierto.