密码重置勿泄露邮箱

Soni · 2021 年1 月 14 日 21:38

当前，通过请求密码重置可能导致电子邮件泄露。攻击者可以向该软件批量发送电子邮件，从而在不访问这些邮箱的情况下，判断哪些邮箱已注册账户、哪些没有。这极其危险。

awesomerobot · 2021 年1 月 14 日 21:44

这不是一个漏洞。我们有一个名为“隐藏已注册邮箱地址”的站点设置，可以防止这种情况。

此外，登录操作还设有速率限制，因此很难通过暴力破解来批量尝试大量邮箱地址。

Soni · 2021 年1 月 14 日 21:46

这不应该藏在设置里……

awesomerobot · 2021 年1 月 14 日 21:49

这是在可用性和安全性之间做出的权衡（许多情况都是如此）。用户因使用错误的邮箱地址登录而感到沮丧是很常见的，告知他们该邮箱不存在有助于缓解这一问题。对于需要额外安全性的网站，可以启用相关选项。

我们已采取其他措施来降低风险，并且在数百个 Discourse 站点中并未遇到重大问题。

system · 2023 年8 月 1 日 08:07

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

话题		回复	浏览量
Email enumeration vulnerability on "Password Reset" dialogue UX	19	4097	2024 年12 月 19 日
Hiding "e-mail taken" on sign-up by default Announcements	6	225	2024 年12 月 22 日
Password reset confirm message should discourage social engineering Feature	7	1568	2023 年8 月 4 日
Received password reset email though I didn’t request one? Support	15	6111	2023 年11 月 28 日
Different password reset for wrong username/email Feature	65	28075	2023 年8 月 4 日