有人提醒我,自 Codinghorror 的帖子以来,已添加了“需要更改电子邮件确认”设置。这意味着该消息现在可以发送给员工以外的人员。
当时阻止编辑此模板的原始原因有效,但如今它提供的保护已有所不同。知道管理员密码的攻击者可以简单地:
- 使用密码为该帐户设置双因素身份验证。
- 创建一个新帐户。
- 使用 2FA 代码授予新帐户管理员权限。
从那里,他们可以将备份发送到自己的电子邮件地址,而无需管理员单击链接确认地址更改。
那么问题是:阻止编辑此模板是否仍然有意义?它现在已发送给普通用户,并且不再保护备份的下载。
此外,Data Explorer 现在始终安装并可用于访问数据库。