أقوم باختبار ميزة “الرد عبر البريد الإلكتروني” في منتدى، واكتشفت أن الرد المنشور يتضمن الرسالة المقتبسة بالكامل كما أرسلها Gmail. وهي مخفية ضمن زر “…” الذي يتم إخفاؤه تلقائيًا، لكنها لا تزال تحتوي على نص تذييل “إلغاء الاشتراك عبر البريد الإلكتروني” ورابط إلغاء الاشتراك، وهو ما يُعد بوضوح ثغرة أمنية في مجال إنكار الخدمة.
يُشير @codinghorror إلى إيقاف هذه الميزة كحل، لذا قمت بإيقاف تشغيل “تذييل إلغاء الاشتراك عبر البريد الإلكتروني”، والذي كان مفعلًا سابقًا لراحة المستخدمين (ولإدارة السمعة). ومع ذلك، لا أزال أتلقى رسائل بريد إلكتروني تحتوي على روابط إلغاء الاشتراك في التذييل.
أعمل حاليًا على إصدار Discourse 2.6.0.beta2 1acb2f752bd9075472cd4e8d1b14196e6289f51b.
ما هو مزود البريد الذي تستخدمه؟ فكثير منهم يصرّون على إدراج روابط إلغاء الاشتراك الخاصة بهم. هل تأكدت من أن الروابط الظاهرة تشير إلى مثيلتك الخاصة وليس إلى مزودي البريد المذكورين؟
يمكنك تعطيل ذلك عن طريق تعطيل إعداد الموقع “إظهار المحتوى المقطوع دائمًا”. بصفتك مسؤولًا، ستظل قادرًا على رؤية البريد الإلكتروني الكامل من خلال النقر على أيقونة الظرف في الزاوية العلوية اليمنى من المنشور الذي تم إنشاؤه عبر البريد الإلكتروني.
آسف، لقد خلطت الأمور. وصف @codinghorror ذلك كحل، لكنه لا يزيل مفتاح إلغاء الاشتراك في التذييل تمامًا، بل فقط (كما تشير نصيحة المساعدة) يغير بروتوكول الرابط بين mailto و https، وفي كلتا الحالتين يتم كشف مفتاح إلغاء الاشتراك.
وللتوضيح أكثر، أنا أستخدم خادم sendmail خاصًا بي على نظام آخر، وهو بالتأكيد غير مُعد لإضافة أي روابط أو أي محتوى آخر على الإطلاق. بالإضافة إلى ذلك، الروابط الفعلية مولّدة بواسطة Discourse، على الشكل https://${myforum}/email/unsubscribe/${uniqueId}، وهو ما لا يتطابق مع شيء مولّد بواسطة خادم آخر.
الآن، بعد أن اختبرت ذلك بين مستخدمين غير مسؤولين، أرى أن الرابط يتطلب مصادقة، لذا فإن وجوده مجرد قبيح، وإهدار لمساحة قاعدة البيانات، وليس هجوم حجب الخدمة (DoS).
أنا لا أشكو من أنه مخفي. أنا أشكو من وجوده (حتى لو كان مخفيًا).
لقد كان لدي هذا الإعداد دائمًا، والذي لم يتغير على حد علمي في تاريخ الموقع:
أنا أضغط على أيقونة النقاط الثلاث داخل المنشور لرؤية النص المقتبس.
هل فاتني إعداد ما لإزالة قسم الاقتباس التتبعي بالكامل من رد؟ سببي الرئيسي لعدم رغبتي في تفعيل الرد عبر البريد الإلكتروني كان بالضبط مقدار “ضجيج الاقتباس” الذي يضيفه إلى المنتدى. هذا يجعل الاستخدام “الكسول” لميزة الرد السهل عبر البريد الإلكتروني يقلل من قيمة المنتدى. الكسل هو أحد الفضائل الأساسية للمبرمج، وأنا لا أهين الكسل هنا!
