攻击者可以通过注册新账户来做到这一点。如果攻击者知道 100,000 个电子邮件地址,他们可以注册 100,000 个账户,Discourse 会向每个账户发送一个激活电子邮件,每个用户都可以将其报告为垃圾邮件。
向不存在账户的电子邮件地址发送“无法重置密码,您的账户不存在”的电子邮件,并不会让该攻击更容易或更困难。
此攻击对大多数网站来说都不是问题,但如果你担心它,应该使用 Discourse hCaptcha 插件,这会增加攻击者的成本。(Meta 不使用它;Discourse 托管的大多数论坛都不使用它。)
我认为,如果 Discourse 接受我关于开始向不存在账户的电子邮件地址发送“无法重置密码,您的账户不存在”电子邮件的建议,那么 hCaptcha 插件在密码重置表单和注册表单上都能正常工作将是有意义的。(我仍然不需要/不使用 hCaptcha。)