Atualmente, os e-mails podem ser vazados ao solicitar uma redefinição de senha. É possível enviar e-mails ao software e verificar quais possuem contas e quais não possuem, sem ter acesso a esses e-mails. Isso é extremamente perigoso.
1 curtida
Isso não é um bug. Temos uma configuração de site chamada hide email address taken que impede isso.
Também existem limites de taxa para login, então não é particularmente fácil fazer força bruta em um grande número de endereços de e-mail.
5 curtidas
Isso não deveria estar atrás de uma configuração…
É um equilíbrio entre usabilidade e segurança (muitas coisas são). É comum as pessoas se frustrarem ao tentar fazer login com o endereço de e-mail errado, e informá-las de que ele não existe pode ajudar. Para sites que precisam de segurança extra, a opção está disponível.
Temos outras medidas em vigor para reduzir o risco e não enfrentamos problemas significativos com isso em centenas de sites Discourse.
7 curtidas
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.