現在、パスワードリセットを要求することでメールが漏洩する可能性があります。該当のメールにアクセスしなくても、ソフトウェアにメールを送信し、どのメールがアカウントを持っているか、持っていないかを特定することが可能です。これは極めて危険です。
「いいね!」 1
これはバグではありません。「メールアドレスの重複を隠す」というサイト設定があり、これによって防止されています。
また、サインインにはレート制限がかけられているため、大量のメールアドレスをブルートフォース攻撃で試すことは容易ではありません。
「いいね!」 5
それは設定の奥にあるべきではないはずです…
使いやすさとセキュリティのトレードオフです(多くの場合そうなります)。間違ったメールアドレスでログインしようとしてユーザーがイライラするのはよくあることで、そのメールアドレスが存在しないことを伝えることでそれを防ぐことができます。より高いセキュリティが必要なサイトでは、そのオプションを用意しています。
他にもリスクを軽減するための対策を講じており、数百のDiscourseサイトにおいてこれまでに大きな問題は発生していません。
「いいね!」 7
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.