Actualmente, las direcciones de correo electrónico pueden filtrarse al solicitar un restablecimiento de contraseña. Es posible enviar correos electrónicos al software y determinar qué direcciones tienen cuentas y cuáles no, sin tener acceso a dichos correos. Esto es extremadamente peligroso.
Esto no es un error. Tenemos una configuración del sitio llamada ocultar dirección de correo electrónico tomada que lo evita.
Además, existen límites de velocidad en el inicio de sesión, por lo que no es particularmente fácil realizar ataques de fuerza bruta contra un gran número de direcciones de correo electrónico.
Eso no debería estar oculto en una configuración…
Es un equilibrio entre usabilidad y seguridad (muchas cosas lo son). Es común que las personas se frustren al intentar iniciar sesión con la dirección de correo electrónico incorrecta, y informarles que no existe puede ayudar. Para los sitios que necesitan seguridad adicional, la opción está disponible.
Tenemos otras medidas implementadas para reducir el riesgo y no hemos encontrado problemas significativos con esto en cientos de sitios de Discourse.