Actuellement, les adresses e-mail peuvent être divulguées lors d’une demande de réinitialisation de mot de passe. Il est possible d’envoyer des adresses e-mail au logiciel pour déterminer quelles adresses sont associées à des comptes et lesquelles ne le sont pas, sans avoir accès à ces e-mails. Cela présente un risque extrêmement élevé.
1 « J'aime »
Ce n’est pas un bug. Nous disposons d’un paramètre de site appelé « cacher l’adresse e-mail déjà utilisée » qui l’empêche.
De plus, il existe des limites de taux sur la connexion, ce qui rend difficile le forçage brut d’un grand nombre d’adresses e-mail.
5 « J'aime »
Cela ne devrait pas être caché derrière un paramètre…
C’est un compromis entre l’utilisabilité et la sécurité (c’est le cas pour beaucoup de choses). Il est courant que les utilisateurs soient frustrés d’essayer de se connecter avec une adresse e-mail incorrecte, et leur indiquer que celle-ci n’existe pas peut les aider. Pour les sites nécessitant une sécurité supplémentaire, cette option est disponible.
Nous avons mis en place d’autres mesures pour réduire les risques et n’avons pas rencontré de problèmes significatifs à ce sujet sur des centaines de sites Discourse.
7 « J'aime »
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.