在我的情况下,我收到了大量自动化的“密码重置”请求。鉴于在我的实例中,除用户名外,所有信息都是私密的,/about 页面是机器人唯一可以获取我的用户名并请求密码重置的地方。
总的来说,这没什么大不了的,但我正在为一个小型项目使用 Discourse,并且我使用的是免费套餐的事务性电子邮件:这可能看起来很愚蠢,但自动化请求会占用配额。
总的来说,我希望将所有与用户和内容相关的数据隐藏起来,不让外界(包括机器人)访问。在我看来,关于页面是我唯一无法(轻松)控制的部分。
2 个赞
你的设置是什么?未注册用户是否可以在不登录的情况下看到论坛,并且所有类别都是私有的?
我想知道你的“所有内容都是私有的”是什么意思,因为如果启用了“需要登录”,则无法访问 /about 页面。
4 个赞
哈哈!这个我漏掉了 
我可能设置错了我的实例:这个没有勾选,但我限制了用户、组和类别的可见性不公开。谢谢,我想我的用例已经涵盖了。
4 个赞
您好 @ale-re,欢迎来到 meta!我已将您的帖子移至单独的主题,以便我们能更仔细地进行查看。您看到有多少密码重置请求?是否只有您的账户受到攻击?
您所描述的情况似乎有些奇怪,因为机器人请求密码重置并没有什么特别的好处,因为它只会向账户所有者发送电子邮件。
1 个赞
我认为当启用 hide_email_address_taken 站点设置时,您只能通过输入电子邮件地址来重置密码。在这种情况下,知道用户名不再有帮助。此设置最近已默认启用。如果尚未启用,启用它可以帮助防止重置。
5 个赞
我们也对所有内容进行速率限制,因此即使有人想捣乱,这种情况成为一个压倒性问题的可能性也很小。
如果您能回忆起收件箱中出现了多少封不必要的密码重置电子邮件,请告知我们 @ale-re。
您好,
抱歉回复晚了。确实,这并不是一个实际问题,只是有点麻烦。一旦我启用了“需要登录”选项,我就不再收到密码重置请求了,但我想自论坛设置以来(当时是几天),这个数量大约在十几二十个左右。我没有确切的数字。
不过现在已经不是问题了。
谢谢!
2 个赞
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.