Aktivierung der E-Mail-Normalisierung standardmäßig

Hintergrund

In der Vergangenheit wurde Discourse mit deaktivierter E-Mail-Normalisierung ausgeliefert. Infolgedessen konnten Benutzer mehrere Konten mit derselben kanonischen E-Mail-Adresse erstellen, indem sie Plus-Adressierung verwendeten. Ein Benutzer mit einem Konto, das mit bob@discourse.org verknüpft ist, konnte beispielsweise ein weiteres Konto erstellen, das mit bob+again@discourse.org verknüpft ist.

Discourse verfügt über die Website-Einstellung normalize_emails, die aktiviert oder deaktiviert werden kann. Wenn sie aktiviert ist, werden beide oben genannten E-Mail-Adressen für die eindeutige Kontenvalidierung als gleich betrachtet, und Bob kann das zweite Konto nicht erstellen.

Warum ändern wir das?

Wir haben in letzter Zeit einen starken Anstieg von Spam-Anmeldungen verzeichnet, wobei einige Websites Hunderte oder sogar Tausende von Anmeldungen von einer einzigen E-Mail-Adresse durch die Verwendung von Plus-Adressierung erhalten haben. Dies istNeedless to say, eine ziemlich böse Überraschung, wenn es passiert.

Auf der anderen Seite sind die Gründe für die Zulassung von Plus-Adress-Anmeldungen hauptsächlich die Erleichterung von Stresstests, d. h. das Einrichten von Testbenutzern ohne die Registrierung neuer E-Mails.

Nach reiflicher Überlegung sind wir der Meinung, dass es eine gesündere Standardeinstellung ist, die E-Mail-Normalisierung zu aktivieren und es den Administratoren zu überlassen, sie bei Bedarf zu deaktivieren.

Was ist mit SSO?

Da Benutzer bei der Verwendung von Single Sign-On (entweder mit discourse-connect oder OAuth) weniger Kontrolle über die genaue verwendete E-Mail-Adresse haben, wird diese Einstellung bei Verwendung dieser Authentifizierungsmethoden ignoriert.

Aber ich mochte/wollte das deaktiviert haben

Wenn Sie diese Einstellung in der Vergangenheit aktiv geändert haben, werden wir nichts daran ändern. Sie bleibt so eingestellt, wie Sie sie konfiguriert haben.

Auch wenn Sie das nicht getan haben, machen Sie sich keine Sorgen. Die Einstellung ist immer noch da. Gehen Sie einfach zu /admin/site_settings und schalten Sie sie wieder aus.

Das sind großartige Neuigkeiten. (Ich erinnere mich, dass dies vor langer Zeit ein großes Problem für markersocial war, die wirklich hart drängen mussten, um Änderungen am Kern vorzunehmen.)

Würden Kategorieadressen noch funktionieren? Dieses System hängt vollständig von Plus-Adressen ab.

Es sieht so aus, als ob es hier nur um E-Mail-Adressen geht, die für die Kontoerstellung verwendet werden. Ich stelle mir vor, es hätte einiges an Aufsehen gegeben, wenn dies Auswirkungen auf eingehende Adressen von Kategorien gehabt hätte.