Estoy probando la función “responder por correo electrónico” en un foro y descubrí que la respuesta publicada incluye todo el mensaje citado tal como fue enviado por Gmail. Aunque está oculto dentro de un elemento autooculto “…”, aún incluye el texto del pie de página “cancelar suscripción por correo electrónico” y el enlace de cancelación de suscripción, lo que constituye claramente una vulnerabilidad de seguridad de denegación de servicio.
@codinghorror indica que desactivar esa opción es la solución, por lo que desactivé el “pie de página de cancelación de suscripción por correo electrónico”, el cual había activado anteriormente por conveniencia del usuario y gestión de reputación. Sin embargo, aún estoy recibiendo correos electrónicos con enlaces de cancelación de suscripción en el pie de página.
¿Qué proveedor de correo estás utilizando? Muchos insistirán en insertar sus propios enlaces para darse de baja. ¿Has confirmado que los enlaces que aparecen apuntan a tu instancia y no a los dichos proveedores de correo?
Puedes desactivarlo deshabilitando la configuración del sitio “mostrar siempre el contenido recortado”. Como administrador, aún podrás ver el correo completo haciendo clic en el icono del sobre en la esquina superior derecha de una publicación creada por correo electrónico.
Lo siento, mezclé las cosas. @codinghorror lo describió como la solución, pero no elimina por completo la clave de cancelación de suscripción en el pie de página; simplemente (como señala el texto de ayuda) cambia el protocolo de URL entre mailto y https, lo que en ambos casos expone la clave de cancelación de suscripción.
Para ser aún más claro, estoy utilizando mi propio servidor sendmail en otro sistema, que definitivamente no está configurado para agregar ningún enlace ni ningún otro contenido. Además, los enlaces reales son generados por Discourse, con el formato https://${myforum}/email/unsubscribe/${uniqueId}, lo cual no coincidiría con algo generado por otro servidor.
Ahora, después de probarlo entre usuarios no administradores, veo que el enlace requiere autenticación, así que simplemente es feo tenerlo, es un desperdicio de espacio en la base de datos y no es un DoS.
No me estoy quejando de que esté oculto. Me estoy quejando de que esté presente (aunque esté oculto).
Siempre he tenido esta configuración, que, hasta donde sé, nunca ha cambiado en la historia del sitio:
Estoy haciendo clic en el icono de puntos suspensivos dentro del mensaje para ver el texto citado.
¿He pasado por alto alguna configuración para eliminar por completo una sección citada final de una respuesta? Mi principal razón para no querer activar la respuesta por correo electrónico ha sido precisamente la cantidad de “ruido” de citas que inyecta en el foro. Hace que el uso “perezoso” de la función fácil de respuesta por correo electrónico reduzca el valor del foro. La pereza es una de las virtudes principales de un programador; ¡no estoy menospreciando la pereza aquí!
