من المحتمل ألا يكون هناك ما يدعو للقلق. يرسل Discourse هذه الرسالة إلى عنوان البريد الإلكتروني للمستخدم إذا نقر شخص ما على رابط “لقد نسيت كلمة المرور الخاصة بي” في نموذج تسجيل الدخول \u003cs\u003esignup\u003c/s\u003e وأدخل عنوان البريد الإلكتروني للمستخدم في النموذج:
لا يوجد ما يمنع أي شخص من إدخال أي عنوان بريد إلكتروني في النموذج. هذه ممارسة قياسية للتعامل مع كلمات المرور المنسية على الويب. الميزة الأمنية المضمنة في هذا هي أن البريد الإلكتروني لإعادة تعيين كلمة المرور يتم إرساله فقط إلى عنوان البريد الإلكتروني الذي تم إدخاله في النموذج، لذلك ما لم يكن الشخص الذي قام بتشغيل البريد الإلكتروني لديه أيضًا وصول إلى صندوق البريد الوارد الخاص بالبريد الإلكتروني، فلن يتمكن من الوصول إلى الموقع.
قد تفكر في تمكين المصادقة الثنائية على حساب Discourse الخاص بك. سيوفر لك ذلك طبقة إضافية من الأمان في حالة وصول شخص ما إلى حساب البريد الإلكتروني الخاص بك. يمكنك تمكين المصادقة الثنائية من صفحة الأمان في حساب Discourse الخاص بك. إذا واجهت أي صعوبة في إعداده، يمكنك الحصول على بعض المساعدة بشأن ذلك هنا.
من غير المرجح أن تحتاج إلى الاتصال بـ HackerOne بشأن المشكلة. HackerOne مخصص للأشخاص الذين اكتشفوا استغلالًا متكررًا في Discourse. أعتقد أن ما تتعامل معه هو الوظيفة المتوقعة لنموذج “لقد نسيت كلمة المرور”.
تعديل: هل أنت مسؤول في الموقع؟ إذا كان الأمر كذلك، فمن الممكن أن يكون عنوان بريدك الإلكتروني معينًا في إعداد site contact username. يتم عرض عنوان البريد الإلكتروني هذا في صفحة “حول” الخاصة بالموقع. سيكون من السهل على شخص ما سحبه من هناك. من الناحية المثالية، سيقوم جميع موظفي الموقع بتمكين المصادقة الثنائية على حسابات Discourse الخاصة بهم.