Estou testando “responder por e-mail” em um fórum e descobri que a resposta postada inclui toda a mensagem citada conforme enviada pelo Gmail. Embora esteja ofuscada por estar em um “…”, que é ocultado automaticamente, ainda inclui o texto do rodapé “cancelar inscrição por e-mail” e o link de cancelamento de inscrição, o que é claramente uma falha de segurança de Negação de Serviço.
@codinghorror recomenda desativar isso como solução, então desativei “rodapé de cancelamento de inscrição por e-mail”, que eu havia ativado para conveniência do usuário (e gestão de reputação), mas ainda estou recebendo e-mails com links de cancelamento de inscrição no rodapé.
Estou executando o Discourse 2.6.0.beta2 1acb2f752bd9075472cd4e8d1b14196e6289f51b
Qual provedor de e-mail você está usando? Muitos insistem em inserir seus próprios links para cancelamento de inscrição. Você confirmou que os links que aparecem apontam para sua instância e não para esses provedores de e-mail?
Você pode desativar isso desabilitando a configuração do site “sempre mostrar conteúdo cortado”. Como administrador, você ainda poderá ver o e-mail completo clicando no ícone de envelope no canto superior direito de uma postagem criada por e-mail.
Desculpe, eu confundi as coisas. @codinghorror descreveu isso como a solução, mas isso não remove completamente a chave de cancelamento de assinatura no rodapé; apenas (como o texto de ajuda aponta) altera o protocolo de URL entre mailto e https, o que, em ambos os casos, expõe a chave de cancelamento de assinatura.
Para deixar ainda mais claro, estou usando meu próprio servidor sendmail em outro sistema, que definitivamente não está configurado para adicionar nenhum link ou qualquer outro conteúdo. Além disso, os links reais são gerados pelo Discourse, no formato https://${myforum}/email/unsubscribe/${uniqueId}, o que não corresponderia a algo gerado por outro servidor.
Agora, tendo testado entre usuários não administradores, vejo que o link requer autenticação, então é apenas feio tê-lo, um desperdício de espaço no banco de dados e não é um DoS.
Eu não estou reclamando de estar obscurecido. Estou reclamando de estar presente (mesmo que obscurecido).
Sempre tive essa configuração, que, até onde sei, nunca mudou no histórico do site:
Estou clicando no ícone de reticências dentro da postagem para ver o texto citado.
Perdi alguma configuração para remover completamente uma seção citada final de uma resposta? Minha principal razão para não querer ativar a resposta por e-mail foi exatamente a quantidade de ruído de citação que isso injeta no fórum. Isso faz com que o uso “preguiçoso” do recurso fácil de resposta por e-mail reduza o valor de um fórum. A preguiça é uma das principais virtudes de um programador; não estou menosprezando a preguiça aqui!
