La possibilité de démarrer de nouveaux sujets par e-mail est importante pour notre communauté, car nous cherchons à convaincre les gens de passer d’un flux de travail basé sur des listes de diffusion auquel ils sont habitués.
Pour faciliter cela, nous devons rendre l’adresse d’envoi d’e-mails facilement accessible. Il est également vrai que les adresses e-mail des utilisateurs ne sont pas secrètes. Beaucoup utilisent depuis des années l’adresse qu’ils ont configurée dans notre système de comptes. Et en général, quelque chose qui pourrait figurer sur une carte de visite n’est pas vraiment un secret.
Par conséquent, les spammers ou d’autres acteurs malveillants peuvent facilement usurper une identité et démarrer des discussions avec des informations publiques.
Pour éviter cette situation, je souhaite que Discourse envoie un e-mail de défi en réponse à tout nouvel e-mail de création de sujet avant de créer ce sujet et de publier le message. (Bien sûr, uniquement pour les utilisateurs valides. Les invalides seraient simplement rejetés.) Lorsque l’utilisateur répond avec succès (avec n’importe quel contenu) à l’e-mail de défi, le message est publié.
(Optionnellement, l’e-mail de défi pourrait également fournir une URL de confirmation.)
Cela garantit que de nouveaux messages ne peuvent pas être créés simplement en usurpant une adresse ; l’attaquant devrait également avoir la capacité d’intercepter les e-mails entrants. Et s’il en a la capacité, il y a des problèmes bien plus graves.