إخفاء "البريد الإلكتروني مأخوذ" عند التسجيل افتراضيًا

إعلانات
1

الخلفية

في ظل الإعدادات الافتراضية الحالية، عند التسجيل للحصول على حساب باستخدام بريد إلكتروني مسجل مسبقًا، سيُعلم نموذج التسجيل بذلك:

Screenshot 2024-12-16 at 12.32.31 PM
Screenshot 2024-12-16 at 12.32.31 PM844×192 9.85 KB

نحن نغير الإعداد الافتراضي لعدم تقديم هذه المعلومات. بدلاً من ذلك، سيبدو نموذج التسجيل كما يلي، بغض النظر عما إذا كان البريد الإلكتروني مسجلاً مسبقًا أم لا:

Screenshot 2024-12-16 at 12.30.04 PM
Screenshot 2024-12-16 at 12.30.04 PM828×182 9.5 KB

يؤثر هذا أيضًا على إعادة تعيين كلمات المرور بطرق مماثلة. مع تعطيل الإعداد، يقدم النموذج ردود فعل فورية بأن البريد الإلكتروني موجود في النظام:

Screenshot 2024-12-16 at 12.50.11 PM
Screenshot 2024-12-16 at 12.50.11 PM1140×388 25.2 KB

مع تمكين الإعداد، فإنه لا يكشف عن تلك المعلومات:

Screenshot 2024-12-16 at 12.49.08 PM
Screenshot 2024-12-16 at 12.49.08 PM1136×374 23.2 KB

لماذا نغيره؟

يمكن لممثل ضار استخدام هذه الملاحظات لإجراء إحصاء للحسابات، مما يتيح لهم معرفة ما إذا كان مستخدمون معينون موجودين في هذا المنتدى، والذي يمكنهم بعد ذلك استهداف هؤلاء المستخدمين بهجمات التصيد الاحتيالي.

ألن يؤثر هذا سلبًا على المستخدمين الشرعيين؟

الحالة هنا هي إذا نسي المستخدم أنه يمتلك حسابًا بالفعل، وحاول التسجيل أو إعادة تعيين كلمة المرور باستخدام نفس البريد الإلكتروني، وهو ما يجب أن يكون حدثًا نادرًا نسبيًا. ولكن حتى في هذه الحالة، سيتلقون بريدًا إلكترونيًا لإعلامهم بأن لديهم حسابًا بالفعل.

لا يؤثر التغيير في النهاية على قدرة المستخدمين الشرعيين على التسجيل أو الوصول إلى حساباتهم.

لكنني أفضل الإعداد الافتراضي القديم

إذا قمت بتغيير هذا الإعداد في أي وقت، فلن يتجاوز الإعداد الافتراضي الجديد الإعداد المخصص. إذا كنت ترغب في العودة إلى الإعداد الافتراضي القديم، يمكنك تعيين إعداد hide_email_address_taken مرة أخرى إلى false.

ملاحظة: نحن ننظر في إخفاء إعداد الموقع هذا من صفحة إعدادات المسؤول في المستقبل.

10 إعجابات
5

ماذا يحدث في حالة أن المستخدم يتذكر بشكل خاطئ عنوان البريد الإلكتروني الذي استخدمه للتسجيل؟

على سبيل المثال، لنفترض أن المستخدم يعتقد أنه سجل باسم example@gmail.com ولكنه في الواقع سجل باسم example@yahoo.com. سيحاول إعادة تعيين كلمة المرور مقدمًا عنوان البريد الإلكتروني example@gmail.com، ولكن لا يوجد حساب بهذا البريد الإلكتروني.

إذا كان هناك حساب مطابق لـ ted@discourse.org، يجب أن تتلقى بريدًا إلكترونيًا يحتوي على تعليمات حول كيفية إعادة تعيين كلمة المرور قريبًا.

إذا لم يتلق المستخدم بريدًا إلكترونيًا ببساطة في هذه الحالة، فلن يعرف أبدًا أنه قدم البريد الإلكتروني الخاطئ، ولن يعرف متى/ما إذا كان يجب عليه المحاولة مرة أخرى بعنوان بريد إلكتروني مختلف.

بدلاً من ذلك، يجب أن تقول الرسالة ببساطة، “يجب أن تتلقى بريدًا إلكترونيًا يحتوي على تعليمات حول كيفية إعادة تعيين كلمة المرور قريبًا” ويجب أن يتلقى المستخدم بريدًا إلكترونيًا يشرح “طلب شخص ما إعادة تعيين كلمة المرور لـ example@gmail.com، ولكن لا يوجد حساب بهذا البريد الإلكتروني.”

هذا لن يسمح لأي شخص بإجراء تعداد للحسابات، ولكنه سيسمح للمستخدم بمعرفة أنه قدم البريد الإلكتروني الخاطئ، ومحاولة استخدام بريد إلكتروني مختلف.

5 إعجابات
7

المشكلة في هذا النهج هي أنه يسمح للمتسللين بإرسال بريد إلكتروني إلى عناوين لم تتفاعل مع مثيلك مطلقًا، أو عناوين غير موجودة.

يمكن أن يؤدي هذا إلى زيادة كبيرة في عدد رسائل البريد الإلكتروني المرسلة، مما قد يتسبب في تكاليف مالية باهظة. يمكن أن يؤدي أيضًا إلى زيادة كبيرة في عدد المستخدمين الذين يبلغون عن رسائل غير مرغوب فيها وزيادة في معدل الارتداد، مما قد يتسبب في إدراج مزودي الخدمة مثل Gmail عناوين البريد الإلكتروني الخاصة بك في القائمة السوداء.

5 إعجابات
8

كان المهاجمون قادرين بالفعل على القيام بذلك بمجرد تسجيل حسابات جديدة. إذا كان المهاجم يعرف 100,000 عنوان بريد إلكتروني، فيمكنه تسجيل 100,000 حساب، وسيرسل Discourse إلى كل واحد منهم بريدًا إلكترونيًا للتنشيط، والذي يمكن لكل مستخدم الإبلاغ عنه كرسائل غير مرغوب فيها.

إن إرسال رسائل “لا يمكن إعادة تعيين كلمة المرور، حسابك غير موجود” إلى عناوين البريد الإلكتروني للحسابات غير الموجودة لا يجعل هذا الهجوم أسهل أو أصعب.

هذا الهجوم ليس مشكلة لمعظم المواقع، ولكن إذا كنت قلقًا بشأنه، فيجب عليك استخدام إضافة Discourse hCaptcha، مما يزيد التكلفة على المهاجم. (لا يستخدم Meta؛ معظم المنتديات التي يستضيفها Discourse لا تستخدمها.)

أعتقد أنه إذا قبل Discourse اقتراحي لبدء إرسال رسائل “لا يمكن إعادة تعيين كلمة المرور، حسابك غير موجود” إلى عناوين البريد الإلكتروني للحسابات غير الموجودة، فسيكون من المنطقي أن تعمل إضافة hCaptcha على نموذج إعادة تعيين كلمة المرور بالإضافة إلى نموذج التسجيل. (ما زلت لن أحتاج/أستخدم hCaptcha بنفسي.)

3 إعجابات
9

نعم، هذا صحيح. لقد فكرت فقط في الحالة في حد ذاتها، ولم آخذ في الاعتبار المجالات الأخرى التي يكون فيها ذلك ممكنًا بالفعل، وكما يحدث، فمن غير العملي على الإطلاق منعه.

10

أليسوا كذلك؟

  1. نسيت كلمة المرور الخاصة بي وأريد الوصول إلى هذا الموقع. أدخل ما أعتقد أنه البريد الإلكتروني الصحيح
  2. لا أتلقى رابط إعادة تعيين كلمة المرور

لذلك الآن أعرف تلقائيًا أحد خيارين: إما أنني أدخلت البريد الإلكتروني الخاطئ أو أن الموقع لا يعمل بشكل صحيح.
خياراتي الآن هي: تجربة بريد إلكتروني آخر، أو محاولة الاتصال بشخص يدير الموقع.
الآن مع اقتراحك أتلقى بريدًا إلكترونيًا يخبرني أن الحساب غير موجود. خياراتي الآن هي تجربة بريد إلكتروني آخر، أو الاتصال بشخص يدير الموقع. إنها نفس نقطة النهاية دون أي خطوات إضافية

إعجاب واحد (1)
11

باستثناء… معظم المستخدمين العاديين لا يفكرون بهذه الطريقة، أو لا يفكرون على الإطلاق.

إعجاب واحد (1)