¡Hola! ¿Discourse 3 tiene una solución para los viejos problemas de seguridad con Onebox? Me refiero a opciones en la configuración para permitir la generación de vistas previas de URL solo para dominios de confianza como youtube, twitter, vimeo.
Porque sin esa configuración, Onebox puede mostrar la IP de origen, es un regalo para los atacantes de ddos.
Ejemplo, pega este enlace: https://maper.info/21TcY1.jpg
¿Y dónde está el botón en el editor con formato de código?
Deshabilitar enable inline onebox on all domains logrará exactamente esto. Configuras los dominios aprobados a través del ajuste del sitio inline_onebox_domain_allowlist.
Eso no es cierto, en absoluto.
Si tu comunidad es de las que atraen ataques ddos, necesitas hacer varias cosas para evitar que tu IP se filtre a través de DNS, SMTP, así como de cuadros de texto y imágenes externas (que se descargan por defecto).
A menos que tengas un historial de ataques ddos, te recomendaría que te preocuparas por casi cualquier otra cosa.
