密码重置勿泄露邮箱

awesomerobot · 2021 年1 月 14 日 21:49

这是在可用性和安全性之间做出的权衡（许多情况都是如此）。用户因使用错误的邮箱地址登录而感到沮丧是很常见的，告知他们该邮箱不存在有助于缓解这一问题。对于需要额外安全性的网站，可以启用相关选项。

我们已采取其他措施来降低风险，并且在数百个 Discourse 站点中并未遇到重大问题。

话题		回复	浏览量
Email enumeration vulnerability on "Password Reset" dialogue UX	19	4204	2024 年12 月 19 日
Hiding "e-mail taken" on sign-up by default Announcements	6	236	2024 年12 月 22 日
Password reset confirm message should discourage social engineering Feature	6	1578	2023 年2 月 6 日
Received password reset email though I didn’t request one? Support	14	6263	2023 年10 月 29 日
Different password reset for wrong username/email Feature	64	28168	2017 年10 月 4 日