Sto testando la funzione “rispondi via email” per un forum e ho scoperto che la risposta pubblicata include l’intero messaggio citato così come inviato da Gmail. Sebbene sia nascosto da un’opzione “…”, include comunque il testo del piè di pagina “disiscriviti via email” e il link per la disiscrizione, il che rappresenta chiaramente una falla di sicurezza di tipo Denial of Service.
@codinghorror suggerisce di disattivare questa opzione come soluzione, quindi ho disattivato “piè di pagina per la disiscrizione via email”, che avevo attivato per comodità degli utenti (e per la gestione della reputazione), ma continuo a ricevere email con i link di disiscrizione nel piè di pagina.
Sto utilizzando Discourse 2.6.0.beta2 1acb2f752bd9075472cd4e8d1b14196e6289f51b
Quale provider di posta stai utilizzando? Molti insistono nell’inserire i propri link per annullare l’iscrizione. Hai verificato che i link visualizzati puntino alla tua istanza e non a quelli del provider di posta?
Puoi disabilitarlo disattivando l’impostazione del sito “mostra sempre i contenuti tagliati”. Come amministratore, potrai comunque visualizzare l’email completa facendo clic sull’icona della busta nell’angolo in alto a destra di un post creato tramite email.
Scusa, ho confuso le cose. @codinghorror lo ha descritto come soluzione, ma non rimuove completamente la chiave di annullamento dell’iscrizione nel piè di pagina; semplicemente (come indicato nel testo di aiuto) cambia il protocollo URL tra mailto e https, il che in entrambi i casi espone la chiave di annullamento dell’iscrizione.
Per essere ancora più chiari, sto usando il mio server sendmail su un altro sistema, che è assolutamente non configurato per aggiungere link o qualsiasi altro contenuto. Inoltre, i link effettivi sono generati da Discourse, del tipo https://${myforum}/email/unsubscribe/${uniqueId}, che non corrisponderebbero a qualcosa generato da un altro server.
Ora, dopo averlo testato tra utenti non amministratori, vedo che il link richiede l’autenticazione, quindi è solo brutto averlo, uno spreco di spazio nel database e non un DoS.
Non mi sto lamentando del fatto che sia oscurato. Mi sto lamentando del fatto che sia presente (anche se oscurato).
Ho sempre avuto questa impostazione, che per quanto ne so non è mai cambiata nella storia del sito:
Sto cliccando sull’icona dei tre puntini all’interno del post per vedere il testo citato.
Ho perso una configurazione per rimuovere completamente una sezione citata finale da una risposta? Il mio motivo principale per non voler attivare la risposta tramite e-mail è stato proprio quanto rumore di citazioni introduce nel forum. Rende l’uso “pigro” della funzione di risposta rapida via e-mail riduce il valore del forum. La pigrizia è una delle virtù principali di un programmatore, non sto denigrando la pigrizia qui!
