Je teste la fonction « répondre par e-mail » pour un forum et j’ai découvert que la réponse publiée inclut l’intégralité du message cité tel qu’envoyé par Gmail. Bien qu’il soit masqué par une section « … » automatiquement cachée, il contient toujours le texte de pied de page « se désabonner par e-mail » et le lien de désabonnement, ce qui constitue manifestement une faille de sécurité de déni de service.
@codinghorror recommande de désactiver cette option comme solution. J’ai donc désactivé le « pied de page de désabonnement par e-mail », que j’avais activé pour la commodité des utilisateurs et la gestion de la réputation, mais je reçois toujours des e-mails contenant des liens de désabonnement dans le pied de page.
Quel fournisseur de messagerie utilisez-vous ? Beaucoup insistent pour insérer leurs propres liens de désabonnement. Avez-vous confirmé que les liens affichés pointent vers votre instance et non vers ces fournisseurs de messagerie ?
Vous pouvez désactiver cela en désactivant le paramètre du site « toujours afficher le contenu tronqué ». En tant qu’administrateur, vous pourrez toujours voir l’e-mail complet en cliquant sur l’icône de l’enveloppe en haut à droite d’un message créé par e-mail.
Désolé, j’ai confondu les choses. @codinghorror l’a décrit comme la solution, mais cela ne supprime pas entièrement la clé de désabonnement dans le pied de page ; cela change simplement (comme l’indique le texte d’aide) le protocole d’URL entre mailto et https, ce qui, dans les deux cas, expose la clé de désabonnement.
Pour être encore plus clair, j’utilise mon propre serveur sendmail sur un autre système, qui n’est absolument pas configuré pour ajouter des liens ou tout autre contenu. De plus, les liens réels sont générés par Discourse, sous la forme https://${myforum}/email/unsubscribe/${uniqueId}, ce qui ne correspondrait pas à quelque chose généré par un autre serveur.
Maintenant, après l’avoir testé entre des utilisateurs non administrateurs, je vois que le lien nécessite une authentification. Il est donc simplement laid de le laisser ainsi, c’est un gaspillage d’espace de base de données, et ce n’est pas une attaque par déni de service (DoS).
Je ne me plains pas du fait qu’il soit masqué. Je me plains du fait qu’il soit présent (même s’il est masqué).
J’ai toujours eu ce paramètre, qui, à ma connaissance, n’a jamais changé dans l’historique du site :
Je clique sur l’icône des trois points dans le message pour voir le texte cité.
Ai-je manqué une configuration pour supprimer entièrement une section citée en fin de réponse ? Ma principale raison de ne pas vouloir activer la réponse par e-mail a précisément été la quantité de « bruit » de citations qu’elle injecte dans le forum. Cela réduit la valeur du forum en favorisant une utilisation « paresseuse » de la fonctionnalité de réponse facile par e-mail. La paresse est l’une des principales vertus d’un programmeur ; je ne dénigre pas la paresse ici !
