حاليًا، يمكن تسريب عناوين البريد الإلكتروني عند طلب إعادة تعيين كلمة المرور. يمكن إرسال عناوين بريد إلكتروني إلى البرنامج لمعرفة أي منها مرتبط بحسابات وأيها غير مرتبط، دون الحاجة إلى الوصول إلى تلك العناوين. هذا الأمر خطير للغاية.
هذا ليس خللاً. لدينا إعداد للموقع يُسمى “إخفاء عنوان البريد الإلكتروني المُستخدم” يمنع ذلك.
بالإضافة إلى ذلك، توجد حدود لمعدل تسجيل الدخول، مما يجعل من الصعب اختراق عدد كبير من عناوين البريد الإلكتروني بالقوة الغاشمة.
لا ينبغي أن يكون ذلك مخفيًا خلف إعداد…
إنه مفاضلة بين سهولة الاستخدام والأمان (وهو ما ينطبق على أمور كثيرة). من الشائع أن يشعر الأشخاص بالإحباط عند محاولة تسجيل الدخول باستخدام عنوان بريد إلكتروني خاطئ، ويمكن أن يساعد إخبارهم بأن العنوان غير موجود. بالنسبة للمواقع التي تتطلب أمانًا إضافيًا، فإن الخيار متاح.
لدينا إجراءات أخرى متبعة لتقليل المخاطر، ولم نواجه مشاكل كبيرة معها عبر مئات مواقع Discourse.