Derzeit können E-Mails durch eine Anfrage zum Zurücksetzen des Passworts offengelegt werden. Es ist möglich, E-Mail-Adressen an die Software zu senden und zu prüfen, welche E-Mails mit Konten verknüpft sind und welche nicht, ohne Zugriff auf diese E-Mails zu haben. Dies ist äußerst gefährlich.
1 „Gefällt mir“
Dies ist kein Fehler. Wir haben eine Site-Einstellung namens hide email address taken, die dies verhindert.
Außerdem gibt es Ratenbegrenzungen für die Anmeldung, sodass es nicht besonders einfach ist, große Mengen an E-Mail-Adressen per Brute-Force zu erraten.
5 „Gefällt mir“
Das sollte nicht hinter einer Einstellung versteckt sein…
Es ist ein Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit (bei vielen Dingen ist das so). Es kommt häufig vor, dass Nutzer frustriert sind, wenn sie sich mit der falschen E-Mail-Adresse anmelden wollen, und sie darauf hinzuweisen, dass diese nicht existiert, kann helfen. Für Seiten, die zusätzliche Sicherheit benötigen, ist diese Option vorhanden.
Wir haben weitere Maßnahmen ergriffen, um das Risiko zu verringern, und haben auf Hunderten von Discourse-Seiten keine wesentlichen Probleme damit festgestellt.
7 „Gefällt mir“
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.