Ich teste die Funktion „Antwort per E-Mail" für ein Forum und habe festgestellt, dass die gesendete Antwort die gesamte zitierte Nachricht enthält, wie sie von Gmail gesendet wurde. Sie ist zwar durch einen automatisch ausgeblendeten „…" verdeckt, enthält aber dennoch den Text „per E-Mail abmelden" im Footer und den Abmeldelink, was offensichtlich ein Sicherheitsproblem im Sinne einer Denial-of-Service-Schwachstelle darstellt.
@codinghorror empfiehlt, dies als Lösung abzuschalten. Ich habe daher „Abmelden per E-Mail im Footer" deaktiviert, was ich zuvor aus Benutzerfreundlichkeit und Reputationsmanagement aktiviert hatte. Dennoch erhalte ich weiterhin E-Mails mit Abmeldelinks im Footer.
Ich verwende Discourse 2.6.0.beta2 1acb2f752bd9075472cd4e8d1b14196e6289f51b.
Welchen E-Mail-Anbieter nutzen Sie? Viele bestehen darauf, eigene Links zum Abmelden einzufügen. Haben Sie bestätigt, dass die angezeigten Links auf Ihre Instanz und nicht auf den jeweiligen E-Mail-Anbieter verweisen?
Du kannst dies deaktivieren, indem du die Site-Einstellung „Immer abgeschnittenen Inhalt anzeigen“ deaktivierst. Als Admin kannst du die vollständige E-Mail weiterhin anzeigen, indem du auf das Umschlag-Symbol oben rechts in einem über eine E-Mail erstellten Beitrag klickst.
Entschuldigung, ich habe Dinge verwechselt. @codinghorror hat das als Lösung beschrieben, aber es entfernt den Abmeldeschlüssel im Footer nicht vollständig. Es ändert lediglich (wie der Hilfetext darauf hinweist) das URL-Protokoll zwischen mailto und https, wobei der Abmeldeschlüssel in beiden Fällen offengelegt wird.
Um es noch deutlicher zu machen: Ich verwende meinen eigenen Sendmail-Server auf einem anderen System, der definitiv nicht so konfiguriert ist, dass er Links oder anderen Inhalt hinzufügt. Außerdem stammen die eigentlichen Links von Discourse und haben das Format https://${myforum}/email/unsubscribe/${uniqueId}, was nicht mit etwas übereinstimmen würde, das von einem anderen Server generiert wurde.
Nachdem ich es zwischen Nicht-Administratoren getestet habe, sehe ich, dass der Link eine Authentifizierung erfordert. Es ist also nur hässlich, ihn zu haben, eine Verschwendung von Datenbankplatz und kein DoS.
Ich beschwere mich nicht darüber, dass er verdeckt ist. Ich beschwere mich darüber, dass er vorhanden ist (auch wenn er verdeckt ist).
Ich habe diese Einstellung immer gehabt, die sich meines Wissens nach in der gesamten Historie der Website nie geändert hat:
Ich klicke auf das Ellipsen-Symbol im Beitrag, um den zitierten Text zu sehen.
Habe ich eine Konfiguration übersehen, um einen nachgestellten zitierten Abschnitt aus einer Antwort vollständig zu entfernen? Mein Hauptgrund, die Antwort per E-Mail nicht zu aktivieren, war genau die Menge an Zitat-Lärm, die sie in das Forum einbringt. Das „faule" Nutzen der einfachen Antwort-funktion per E-Mail mindert den Wert eines Forums. Faulheit ist eine der wichtigsten Tugenden eines Programmierers; ich stelle die Faulheit hier nicht in Frage!
