Ho ricevuto casualmente un’email da discourse che affermava che qualcuno aveva richiesto il reset della mia password. Stavo guardando un film quando è arrivata quell’email, è stato spaventoso. Ho subito cambiato la mia password e la chiave di autenticazione.
Qualcuno potrebbe per favore indagare su questo? Ho paura.
Probabilmente non c’è nulla di cui preoccuparsi. Discourse invierà quel messaggio all’indirizzo email di un utente se qualcuno fa clic sul link “Ho dimenticato la password” nel modulo di accesso signup e inserisce l’indirizzo email dell’utente nel modulo:
Non c’è nulla che impedisca a chiunque di inserire qualsiasi indirizzo email nel modulo. Questa è una pratica standard per la gestione delle password dimenticate sul web. La funzionalità di sicurezza integrata è che l’email di reimpostazione della password viene inviata solo all’indirizzo email inserito nel modulo, quindi a meno che la persona che ha attivato l’email non abbia anche accesso alla casella di posta dell’email, non sarà in grado di accedere al sito.
Potresti prendere in considerazione l’attivazione dell’autenticazione a due fattori sul tuo account Discourse. Ciò ti fornirà un ulteriore livello di sicurezza nell’eventualità che qualcuno abbia accesso al tuo account email. Puoi attivare l’autenticazione a due fattori dalla pagina Sicurezza del tuo account Discourse. Se hai problemi a configurarla, puoi ottenere aiuto qui.
È improbabile che tu debba contattare HackerOne per il problema. HackerOne è destinato a persone che hanno scoperto uno sfruttamento ripetibile in Discourse. Penso che ciò con cui hai a che fare sia la funzionalità prevista del modulo “Ho dimenticato la password”.
Modifica: sei un amministratore del sito? Se sì, è possibile che il tuo indirizzo email sia impostato nell’impostazione nome utente di contatto del sito. Quell’indirizzo email viene visualizzato nella pagina Informazioni del sito. Sarebbe facile per qualcuno estrarlo da lì. Idealmente, tutto il personale del sito attiverà l’autenticazione a due fattori sui propri account Discourse.
Grazie per la pronta risposta e penso che tu abbia ragione!
Non ho nessuna registrazione, solo la pagina di accesso. Appena sopra la pagina di accesso c’è un breve messaggio che mostra il mio indirizzo email per contattarmi e penso che qualcuno abbia semplicemente usato quell’indirizzo email per creare un link di recupero password. È astuto! Ho cambiato l’indirizzo email e ora non è più collegato ad alcun account.
Grazie mille! Quando è successo, in una frazione di secondo, ho visto così tante variazioni, cercando di lavorare su tutti i possibili esiti.
L’autenticazione a due fattori è attiva fin dall’inizio.
Beh, era un falso allarme, cosa che sono felice di poter dire e dal profondo del mio cuore, vorrei apprezzare l’incredibile piattaforma che Discourse ha creato. Sono molto felice di usarla!! 
Quelle email mi mettono sempre un po’ in agitazione, quindi capisco.
In realtà c’era un errore di battitura nella mia risposta. Il link “password dimenticata” si trova nella finestra di accesso, non in quella di registrazione, quindi è probabile che tutto ciò che hanno fatto sia stato cliccare su quel link e accedere al modulo.
È fantastico!
Tecnicamente non credo che qualcuno debba conoscere l’e-mail di un account per richiedere il reset della password, solo il nome utente.
Se il nome utente è pubblico, chiunque potrebbe inserirlo nel modulo “password dimenticata” e verrebbe inviata un’e-mail come questa.
Nessun rischio per la sicurezza finché le caselle di posta elettronica sono sicure.
Capisco che per qualcuno questo potrebbe salvargli la vita, ma allo stesso tempo potrebbe causargli un infarto.
C’è un modo per disabilitarlo per il nome utente?
Ci sono anche dei passaggi che consiglieresti per questo?
Non utilizzare servizi email gratuiti e poco raccomandabili, ad eccezione di Gmail e Hotmail, ma inclusi mail.ru, alibaba ecc. E utilizza password robuste più VPN quando utilizzi Wi-Fi gratuito o comunque inaffidabile. Misure di sicurezza normali.
Ma questo non ha nulla a che fare con Discourse, comunque.
Sono un utente Apple e sono abbonato a iCloud Plus, che offre Private Relay (in pratica una VPN).
Sì, sto usando una password estremamente forte e lunga suggerita e conservata nei portachiavi di iCloud.
Sarebbe sufficiente?
Puoi usare l’impostazione admin hide email address taken (nascondi email già utilizzata), che richiederebbe quindi l’email completa per le richieste di reimpostazione della password:
Consigli sulla creazione di una password per il tuo account email sarebbero fuori dallo scopo di questo forum, anche se sono sicuro che troverai delle buone risorse offerte dal tuo provider di posta elettronica per questo. 
Come ha menzionato Jakke, dipende dal tuo servizio di posta elettronica; iCloud è probabilmente abbastanza sicuro, ma non sono un esperto in materia.
Spesso c’è un’opzione per l’autenticazione a due fattori, che richiede sia una password che una chiave di sicurezza fisica per accedere, o un codice di autenticazione generato da un’app di autenticazione.
Credo che il messaggio dica che se non hai richiesto il messaggio non c’è nulla di cui preoccuparsi. Giusto?
Per il ripristino della password qui su Meta, l’e-mail recita:
Probabilmente questo può essere personalizzato per dire qualcosa di diverso per siti diversi.
Con l’opzione di ripristino della password, dice anche di contattare lo staff di Discourse se qualcuno ha perso l’accesso all’e-mail, non so quale sia il loro processo per questo.
L’amministratore può modificare (quasi) tutti i testi qui. Basta andare su admin > personalizza > testo.
Anche quel testo è piuttosto generico e funziona per (quasi) tutti i forum — solo perché le cose sono così, richiedere una nuova password non comporta alcun rischio per la sicurezza. Può essere un po’ fastidioso, se succede abbastanza spesso (come è successo su Instagram un po’ di tempo fa).
È stato utile, grazie!!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
