Attualmente, gli indirizzi email possono essere compromessi richiedendo un reset della password. È possibile inviare indirizzi email al software per verificare quali account esistono e quali no, senza avere accesso a tali email. Questo rappresenta un rischio estremamente grave.
1 Mi Piace
Questo non è un bug. Abbiamo un’impostazione del sito chiamata hide email address taken che lo impedisce.
Sono inoltre presenti limiti di frequenza per l’accesso, quindi non è particolarmente facile tentare di forzare un gran numero di indirizzi email.
5 Mi Piace
Questo non dovrebbe essere nascosto in un’impostazione…
È un compromesso tra usabilità e sicurezza (così è per molte cose). È comune che le persone siano frustrate nel tentare di accedere con un indirizzo email errato, e informarle che l’account non esiste può essere d’aiuto. Per i siti che necessitano di maggiore sicurezza, l’opzione è disponibile.
Abbiamo implementato altre misure per ridurre i rischi e non abbiamo riscontrato problemi significativi in centinaia di siti Discourse.
7 Mi Piace
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.