Protecting against gmail dot trick in Discourse

Sí, eso es más o menos lo que estaba diciendo en la llamada.

Supongo que volvemos a la idea de lanzar un plugin, porque, en mi opinión, la única “solución” efectiva es bloquear completamente los puntos y los caracteres de suma .+ en los correos electrónicos cuando estás en modo de bloqueo.

Básicamente, es una expresión regular de lista negra para correos electrónicos y puedes ajustarla según lo consideres oportuno, para añadir ciertos proveedores, ciertos caracteres, lo que sea. Muy flexible, muy potente.

Creo que mejorar la lista negra de correos electrónicos es un cambio sencillo que beneficiará a todos los sitios; no se me ocurre ninguna desventaja.

Si bloqueo sam@gmail.com, ¿realmente quiero permitir s.am@gmail.com?

En cuanto al plugin, supongo que podemos ocuparnos de esto cuando tengamos un problema real en nuestro alojamiento. Ya soportamos el bloqueo de dominios.

¿Muchos saben que se agregó esta función? (¿Recibieron un mensaje informándoles? ¿Quizás no siguen mucho este foro en meta? ¡¿!?)

Personalmente, no considero que el cambio sea “inútil” en absoluto. De hecho, lo incluiría en el núcleo y lo configuraría como activado por defecto. Mi razonamiento es el siguiente: ¿Tiene un usuario la capacidad de crear múltiples cuentas con exactamente la misma dirección de correo electrónico? ¿Por qué permitirlo con una dirección de Gmail, entonces? (además, si está activado por defecto desde el principio, “resuelve” el problema de permitir la creación de una cuenta más después de la activación).

La idea sería tener una opción para PERMITIR múltiples cuentas con un solo correo de Gmail y los “trucos de Gmail” (ahora, puedo entender el deseo de no querer agregar el almacenamiento de correo canónico si parece que todo esto no es necesario).

Esta función parece bien, @sam. Creo que deberíamos enviarla por defecto desactivada / en blanco.

Un poco de contexto que probablemente desconoces es que a los administradores de los foros se les ha indicado que el truco de la dirección con el signo más es una excelente manera de crear cuentas de prueba sin privilegios en los foros, para verificar los permisos de las categorías, algo que se menciona con frecuencia aquí en Meta. No se puede prohibir este truco por defecto, ya que existen usos legítimos para múltiples cuentas y este es uno de ellos, que aparece prácticamente en todas partes.

Conceder permisos especiales para usar un correo electrónico duplicado para tu “cuenta de prueba de usuario sin privilegios” es, en cierto modo, un oxímoron.

Tienes razón en eso.

He revertido mi cambio aquí e introducido en su lugar esta nueva y genial opción predeterminada.

Esto significa que si evil.person+77@gmail.com es bloqueado, procederemos a bloquear evilperson@gmail.com en su lugar.

Luego, cuando e.v.i.l.person@gmail.com intente colarse, será bloqueado debido a la coincidencia canónica.

Esto resuelve por completo la pregunta original aquí y es un cambio muy limpio y seguro del que todas las instancias de Discourse pueden beneficiarse.

Voy a cerrar esto como completado en una semana.

Este tema se cerró automáticamente después de 7 días. Ya no se permiten nuevas respuestas.