If you visited a Discourse a long time ago, and no longer control the email address your account was originally created under – how can we get that user back into their account?
I guess there are two options here:
You don’t remember which email it was, and you don’t control that email address any more
You do remember which email it was, and you don’t control that email address any more
So you’d issue a standard forgot password request …
I guess the only option here is to contact staff out-of-band via the /about page email address and ask them to change the email on the account? This is extra tricky if you don’t remember the email address you signed up with – how does this other user prove that they are, in fact, the person who originally controlled the old email account?
I wonder how we can provide information / assistance to the user on these two dialogs to handle this rare, but highly unfortunate, scenario without it being TL;DR for everyone else.
Maybe a small link to the staff page on this dialog makes sense to handle that and other unusual login scenarios where staff intervention is inevitable and required. Or perhaps a “help” button on this dialog, so that way we’re not smacking every workaday “forgot my password again” user with a bunch of extraneous information that is only useful in these rare cases?
Entendi corretamente que, se um administrador alterar o endereço de e-mail de um usuário, o usuário terá que confirmar esse novo endereço de e-mail por meio do próprio novo e-mail, mas o antigo endereço de e-mail não será notificado sobre a mudança?
Uma maneira de pelo menos mitigar o impacto de alguém assumir maliciosamente a conta de outro usuário seria informar o antigo endereço de e-mail sobre o novo endereço sempre que a mudança de e-mail for acionada pela equipe.
Por fim, uma pergunta rápida: quando exatamente o novo endereço de e-mail se torna efetivo neste caso? É imediatamente ou após a confirmação do novo e-mail? Acredito que seja o último, mas quero ter certeza.
Agora notei que, em uma das duas alterações de endereço, um notify_old_email foi realmente enviado. Não consegui encontrar o modelo correspondente a esse e-mail, mas suspeito que ele seja enviado posteriormente, ou seja, após a confirmação do novo e-mail. Isso está correto?
Isso é verdadeiro apenas para contas de equipe. Devido à maior segurança, usuários da equipe devem confirmar tanto o e-mail antigo quanto o novo.
(O que será impossível se eles de alguma forma perderem o controle da conta de e-mail antiga. Mas como essa regra se aplica apenas à equipe, esperamos que você precise lidar com essa situação apenas raramente.)
