В настоящее время адреса электронной почты могут быть раскрыты при запросе сброса пароля. Возможно отправлять запросы на проверку наличия учётных записей для различных адресов электронной почты и определять, какие из них зарегистрированы, а какие нет, не имея доступа к этим почтовым ящикам. Это крайне опасно.
Это не ошибка. У нас есть настройка сайта hide email address taken, которая предотвращает это.
Также существуют ограничения скорости входа, поэтому подобрать большое количество адресов электронной почты методом грубой силы довольно сложно.
Это не должно быть скрыто за настройками…
Это компромисс между удобством использования и безопасностью (так бывает во многих случаях). Люди часто расстраиваются, пытаясь войти с неверным адресом электронной почты, и информирование их о том, что такой адрес не существует, может помочь. Для сайтов, требующих повышенной безопасности, такая опция предусмотрена.
У нас также есть другие меры по снижению рисков, и мы не сталкивались со значительными проблемами на сотнях сайтов на базе Discourse.