ディスコースから、誰かが私のパスワードリセットを要求したというメールがランダムに届きました。メールが来たとき、私は映画を見ていたのですが、怖かったです。すぐにパスワードと認証キーを変更しました。
どなたか確認していただけますか?怖いです。
心配する必要はないでしょう。ディスコースは、誰かがサインアップログインフォームの「パスワードを忘れました」リンクをクリックし、そのユーザーのメールアドレスをフォームに入力した場合に、そのユーザーのメールアドレスにメッセージを送信します。
誰かがフォームに任意のメールアドレスを入力することを妨げるものはありません。これは、ウェブ上でパスワードを忘れた場合に対応するための標準的な手順です。この機能に組み込まれているセキュリティは、パスワードリセットメールはフォームに入力されたメールアドレスにのみ送信されるということです。したがって、メールをトリガーした人がそのメールの受信トレイにアクセスできない限り、サイトにアクセスすることはできません。
ただし、ディスコースアカウントで2要素認証を有効にすることを検討してください。これにより、万が一誰かがあなたのメールアカウントにアクセスした場合でも、追加のセキュリティレイヤーが提供されます。ディスコースアカウントのセキュリティページから2要素認証を有効にできます。設定に問題がある場合は、ここでヘルプを得ることができます。
この問題についてHackerOneに連絡する必要はない可能性が高いです。HackerOneは、ディスコースで再現可能なエクスプロイトを発見した人向けです。「パスワードを忘れました」フォームの期待される機能が原因であると思われます。
編集:あなたはサイトの管理者ですか?もしそうなら、あなたのメールアドレスがsite contact username設定に設定されている可能性があります。そのメールアドレスはサイトの「About」ページに表示されます。そこから簡単に取得できます。理想的には、すべてのサイトスタッフがディスコースアカウントで2要素認証を有効にするべきです。
「いいね!」 9
迅速なご返信ありがとうございます。おっしゃる通りだと思います!
サインアップはなく、ログインページのみです。ログインページのすぐ上に、私に連絡するためのメールアドレスが表示される短いメッセージがあり、誰かがそのメールアドレスを使ってパスワードリセットリンクを作成したのだと思います。それは巧妙ですね!メールアドレスを変更し、今はどの В аккаунтにも紐付いていません。
本当にありがとうございます!これが起こったとき、ほんの一瞬ですが、あらゆる可能性のある結果に対応しようと、たくさんのバリエーションを見ました。
二要素認証は最初からオンになっています。
さて、誤報でしたが、心から嬉しく思っています。Discourseが作成した素晴らしいプラットフォームに心から感謝いたします。利用できてとても嬉しいです!! 
「いいね!」 2
その種のメールはいつも少し怖いので、気持ちはわかります。
実際、私の返信にタイプミスがありました。「パスワードをお忘れですか」リンクはサインアップモーダルではなくログインモーダルにあるため、彼らがそのリンクをクリックしてフォームにアクセスしただけである可能性が高いです。
それは素晴らしいですね!
「いいね!」 2
技術的には、パスワードリセットをリクエストするためにアカウントのメールアドレスを知る必要はなく、ユーザー名だけで十分だと思います。
ユーザー名が公開されていれば、誰でも「パスワードをお忘れですか」フォームに入力でき、このようなメールが送信される可能性があります。
メールの受信トレイが安全である限り、セキュリティ上のリスクはありません。
「いいね!」 3
それが誰かにとって命を救うものになる可能性がある一方で、心臓発作を引き起こす可能性もあることは理解しています。
ユーザー名に対して無効にする方法はありますか?
「いいね!」 2
また、それに関して推奨される手順はありますか?
「いいね!」 2
GmailとHotmailを除く、mail.ruやalibabaなどの無料または怪しいメールサービスは使用しないでください。また、無料または信頼性の低いWi-Fiを使用する場合は、強力なパスワードとVPNを使用してください。通常のセキュリティ対策です。
ただし、これらはDiscourseとは関係ありません。
「いいね!」 3
私はAppleユーザーで、iCloudプラスに加入しており、プライベートリレー(基本的にVPN)を利用しています。
はい、iCloudのキーチェーンに保存されている、非常に強力で長いパスワードを使用しています。
これで十分でしょうか?
「いいね!」 1
hide email address taken 管理者設定を使用できます。これにより、パスワードリセットリクエストには完全なメールアドレスが必要になります。
メールアカウントのパスワード作成に関するアドバイスは、このフォーラムの範囲外ですが、メールプロバイダーから提供される良いリソースが見つかるはずです。 
「いいね!」 2
Jakkeが言及したように、それはあなたのメールサービスに依存します。iCloudはおそらくかなり安全ですが、私はその専門家ではありません。
多くの場合、2要素認証のオプションがあり、ログインするにはパスワードと物理的なセキュリティキー、または認証アプリによって生成された認証コードが必要になります。
「いいね!」 2
メッセージは、メッセージをリクエストしなかった場合は心配する必要はない、と言っているのだと思います。そうでしょ?
「いいね!」 2
Metaでのパスワードリセットについて、Eメールには次のように記載されています。
「パスワードのリセットがリクエストされました。あなたからのリクエストでない場合は、このEメールを無視しても問題ありません。」
これは、サイトごとに異なるメッセージにカスタマイズできる可能性があります。
パスワードリセットのオプションでは、Eメールへのアクセスを失った場合はDiscourseのスタッフに連絡するように記載されていますが、そのプロセスについては不明です。
「いいね!」 3
管理者は(ほぼ)すべてのテキストを変更できます。admin > customize > text に移動してください。
このテキストは非常に一般的ですが、(ほぼ)すべてのフォーラムで機能します。物事がそうなっているため、パスワードのリセットはセキュリティ上のリスクではありません。頻繁に発生する場合(以前Instagramで発生したように)、少し迷惑になる可能性があります。
「いいね!」 3
これは役に立ちました。ありがとうございます!
「いいね!」 3
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.