В моём случае я получаю массовые автоматические запросы на «сброс пароля». Поскольку в моём экземпляре всё, кроме имени пользователя, скрыто, страница /about — единственное место, где боты могут узнать моё имя пользователя и инициировать запрос на сброс пароля.
В целом это не проблема, но я использую Discourse для небольшого проекта и бесплатный тариф транзакционной рассылки писем: может показаться глупым, но автоматические запросы учитываются в лимите.
В общем, я хотел бы скрыть все данные о пользователях и контенте от внешнего мира (включая ботов). Мне кажется, что страница «О проекте» — это единственное, чем я не могу (легко) управлять.
Какая у вас конфигурация? Могут ли незарегистрированные пользователи видеть форум без входа в систему, и является ли каждая категория приватной?
Меня интересует, что вы имеете в виду под «всё приватно», поскольку страница /about недоступна, если включена опция «требуется вход».
Ха! Я это упустил Скорее всего, я неправильно настроил свой экземпляр: эта опция не была отмечена, но я ограничил видимость пользователей, групп и категорий для публичного доступа. Спасибо, думаю, мой случай использования покрыт.
Привет, @ale-re, и добро пожаловать на мета-форум! Я переместил ваш пост в отдельную тему, чтобы мы могли изучить его более детально. Сколько запросов на сброс пароля вы наблюдаете? Только ли ваш аккаунт является целью?
То, что вы описываете, кажется немного странным, поскольку ботам нет особого смысла запрашивать сброс пароля, так как это лишь отправляет письмо владельцу аккаунта.
По-моему, когда включена настройка сайта hide_email_address_taken, сброс пароля возможен только через ввод адреса электронной почты. В этом случае знание имени пользователя уже не поможет. Эта настройка недавно была включена по умолчанию. Если она ещё не активна, её включение может помочь предотвратить сбросы пароля.
Мы также ограничиваем частоту всех запросов, поэтому вероятность того, что это станет серьезной проблемой, крайне мала, даже если кто-то захочет быть очень назойливым.
Пожалуйста, дайте нам знать @ale-re, если вы помните, сколько нежелательных писем для сброса пароля появилось в вашем почтовом ящике.
Здравствуйте,
извините за поздний ответ. Действительно, это была не настоящая проблема, а лишь досадное неудобство. Как только я включил опцию «требуется вход», запросы на сброс пароля больше не появлялись, но, полагаю, их число составляло несколько десятков с момента создания форума (несколько дней назад). Точной цифры у меня нет.
Скорее всего, я неправильно настроил свой экземпляр: эта опция не была отмечена, но я ограничил видимость пользователей, групп и категорий для публичного доступа. Спасибо, думаю, мой случай использования покрыт.