Ich beziehe mich auf diesen Beitrag hier: Discourse Link previews through a proxy server?
Zunächst einmal, Entschuldigung, dass ich diesen fast 10 Jahre alten Beitrag wiederbelebe, aber ich kann ernsthaft nicht glauben, dass dies niemanden sonst stört?
Ich habe es jetzt geschafft, meinen Host-Server und seine IP-Adresse hinter Cloudflare zu verstecken, und nach stundenlanger Suche ist es mir gelungen, nur eingehenden Netzwerkverkehr von Cloudflare zuzulassen, damit Port-Scanner das Forum nicht versehentlich unter der IP-Adresse entdecken. Sicherheit ist mir einfach sehr wichtig. Der Mailserver ist extern, fast alles ist geschützt – aber es ist ein Witz, dass jemand nur ein Köderbild im Beitrag einfügen muss und Discourse es direkt herunterlädt, um es einzubetten oder etwas Ähnliches. Ich konnte nichts finden, was dies irgendwo deaktiviert. Sogar diese Oneboxen, die die Vorschauen sein sollen – selbst wenn man diese auf 0 setzt, passiert nichts – der IP-Logging-Pixel wurde sofort eingebettet und könnte dem Angreifer die echte IP des Hosts preisgeben – Cloudflares Schutz ist in diesem Fall also absolut nutzlos. Entweder man schützt seine Dienste richtig oder gar nicht – was nützt uns Cloudflare, wenn der Angreifer keine 5 Minuten braucht, um sich zu registrieren, ein Bild zu posten und so die echte IP des Hosts herauszufinden?
Ich habe heute stundenlang mit KI, Tor und Torsocks herumprobiert – aber es hat nie wirklich funktioniert. Der Neuaufbau stürzt normalerweise ab, sobald ich es wage, etwas an den Umgebungseinstellungen zu ändern. Wenn es jemandem irgendwie gelungen ist, dies zu tun, flehe ich ihn fast an, es bitte mit uns zu teilen. Meistens schlägt der Neuaufbau fehl, weil der Zugriff auf Github nicht funktioniert, da Github Tor-Verkehr wahrscheinlich verbietet.
Und all das müsste nicht sein, wenn man Discourse einfach davon abhalten könnte, die Links im Voraus zu laden.
Ich bin wirklich verzweifelt.