Com base nas preocupações e no tratamento de problemas levantados aqui ao longo do tempo (que, pela leitura, é sistêmico em toda a web nos últimos meses) e enfrentando novas ondas desse material.
Eu testei Somente Login, mas notei essas ondas de bots de IA atingindo todos os tipos de recursos/caminhos do Discourse e potencialmente recebendo uma página/conteúdo.
Alguém pode confirmar se Somente Login é um bloqueio total ou não?
Além disso, existe outra interação de ângulo de entrada quando se trata do cache, mesmo ao limpar todo o cache após a postura Somente Login?
Quais caminhos especificamente? Qualquer coisa que seja acessada deve redirecionar para o login.
Sim, apenas login significa que a única maneira de acessar o site é fazendo login. Ainda é possível que algum tráfego de bot chegue às rotas / ou /login, porque elas precisam ser públicas para permitir que os humanos façam login, mas será restrito a essas rotas.
Conforme postado no tópico vinculado, por exemplo:
...stylesheets/docker_manager_abc123.css
Em alguns testes simples, segui os links para os quais vários tráfegos estavam procurando e consegui baixar os arquivos css ou js e quem sabe o que mais, quando o discourse estava no modo Apenas Login.
Ah, entendi, sim, isso é esperado… esses são ativos estáticos usados para renderizar o aplicativo, eles são frequentemente armazenados em cache para desempenho e não contêm informações confidenciais pós-envio.
Ok, entendi, mas talvez um lockdown completo precise ser considerado de forma profunda e rápida, por razões técnicas que não consigo pensar além de não deixar nenhuma thread que possa ser usada para ataques DDoS.
Acabei de ver quase 3 mil requisições de URL exclusivas visando especificamente a rota uploads/default/original/3X/c/.../...some.jpeg, todas lançadas de um único IP em Singapura. Os caminhos estão corretos, analisei algumas amostras de links e eles apontam para arquivos de imagem exclusivos e específicos, mas o Cloudflare estava configurado para bloquear Singapura por atacado.
Pelo andar da carruagem, nada que possa ser usado como alvo de prática deve ser deixado exposto. Bloqueio total.