サービス不能攻撃
フォーラムの「メールによる返信」機能をテストしているところ、投稿された返信に Gmail から送信された元のメッセージ全体が含まれていることを発見しました。自動非表示の「…」で隠されていますが、「メールによる購読解除」フッターのテキストと購読解除リンクも含まれており、これは明らかなサービス不能攻撃のセキュリティ脆弱性です。
@codinghorror は、その機能を無効化して解決すると述べているため、ユーザーの利便性(および評判管理)のために有効にしていた「メールによる購読解除フッター」を無効にしました。しかし、それでもフッターに購読解除リンクが含まれたメールが届いています。
Discourse 2.6.0.beta2 1acb2f752bd9075472cd4e8d1b14196e6289f51b を実行しています。
どのメールプロバイダーを使用していますか?多くのプロバイダーは、購読解除用の独自のリンクを強制的に挿入します。表示されるリンクが、そのメールプロバイダーのものではなく、ご自身のインスタンスを指していることを確認しましたか?
「常に切り詰められたコンテンツを表示する」サイトの設定を無効にすることで、これを無効にできます。管理者の場合、メール経由で作成された投稿の右上隅にある封筒アイコンをクリックすることで、引き続き完全なメールを確認できます。
申し訳ありません、混同していました。@codinghorror はそれを解決策として説明していましたが、フッターにある購読解除キーを完全に削除するわけではありません。ヘルプテキストが指摘している通り、mailto と https の間の URL プロトコルを変更するだけです。どちらの場合でも、購読解除キーが露出しています。
さらに明確にしておきますと、私は別のシステム上で独自の sendmail サーバーを使用しており、リンクやその他のコンテンツを追加するように 絶対に 設定されていません。さらに、実際のリンクは Discourse によって生成されたもので、https://${myforum}/email/unsubscribe/${uniqueId} の形式です。これは他のサーバーによって生成されたものとは一致しません。
さて、管理者以外のユーザー間でテストしたところ、そのリンクには認証が必要であることがわかりました。したがって、リンクが存在するのは見苦しいだけで、データベーススペースの無駄であり、DoS 攻撃ではありません。
私はそれが隠されていることについて不満を言っているのではありません。存在していること(隠されていても)について不満を言っています。
私は常にこの設定を持っており、サイトの履歴上、変更されたことは一度もないと記憶しています。
投稿内の省略記号アイコンをクリックして、引用されたテキストを表示しています。
応答から末尾の引用セクションを完全に削除するための設定を見落としているのでしょうか?「メールで返信」機能をオンにしたくない主な理由は、それがフォーラムにどの程度の引用ノイズを注入するかという点にあります。これにより、メールで返信という簡単な機能の「怠惰な」使用がフォーラムの価値を低下させてしまいます。怠惰はプログラマーの主要な美徳の一つであり、ここで怠惰を軽蔑しているわけではありません!