我随机收到一封来自 discourse 的邮件,称有人要求重置我的密码。我当时正在看电影,那封邮件来了,很吓人。我立即更改了我的密码和身份验证密钥。
有人能帮忙看看吗?我很害怕。
可能没什么好担心的。如果有人在“注册”登录表单上点击了“我忘记了密码”链接,并在表单中输入了用户的电子邮件地址,Discourse 就会向该用户的电子邮件地址发送该消息:
没有任何东西可以阻止任何人向表单输入任何电子邮件地址。这是处理网络上忘记密码的标准做法。内置的安全功能是密码重置电子邮件仅发送到表单中输入的电子邮件地址,因此,除非触发电子邮件的人还可以访问电子邮件收件箱,否则他们将无法访问该网站。
不过,您可以考虑在您的 Discourse 帐户上启用双因素身份验证。这样可以为您提供额外的安全层,以防有人可以访问您的电子邮件帐户。您可以从 Discourse 帐户的“安全”页面启用双因素身份验证。如果您在设置过程中遇到任何问题,可以在这里获得帮助。
您不太可能需要就此问题联系 HackerOne。HackerOne 是为发现 Discourse 中可重复利用的漏洞的人准备的。我认为您所处理的是“我忘记了密码”表单的预期功能。
编辑:您是该网站的管理员吗?如果是,您的电子邮件地址可能已在 site contact username 设置中设置。该电子邮件地址显示在网站的“关于”页面上。有人很容易从中获取它。理想情况下,所有网站员工都应在其 Discourse 帐户上启用双因素身份验证。
9 个赞
感谢您的及时回复,我认为您说得对!
我没有任何注册页面,只有一个登录页面。就在登录页面上方,有一条简短的消息显示了我的电子邮件地址,以便联系我,我认为有人只是使用了该电子邮件地址来创建“忘记密码”链接。这很聪明!我已经更改了电子邮件地址,它现在不与任何帐户关联。
非常感谢!当这种情况发生时,我曾在一瞬间看到许多不同的可能性,试图处理所有可能的结果。
双因素身份验证从一开始就已开启。
嗯,这只是一个虚惊一场,我很高兴地说,我发自内心地感谢 Discourse 平台所做的出色工作。我非常乐意使用它!! 
2 个赞
这类邮件总是让我有点害怕,所以我明白。\n\n[quote="evens_tailors.0d, post:9, topic:283735, username:Plabforum"]\n我没有任何注册,只有一个登录页面。\n[/quote]\n\n实际上我的回复有个错别字。“忘记密码”链接在登录模态框上,而不是注册模态框上,所以他们很可能只是点击了那个链接并访问了表单。\n\n[quote="evens_tailors.0d, post:9, topic:283735, username:Plabforum"]\n双因素认证从一开始就开启了。\n[/quote]\n\n那太好了!
2 个赞
从技术上讲,我认为用户不需要知道账户的电子邮件即可请求重置密码,只需要用户名即可。
如果用户名是公开的,任何人都可以将其输入到“忘记密码”表单中,然后会发送类似这样的电子邮件。
只要电子邮件收件箱是安全的,就没有安全风险。
3 个赞
我明白这对某些人来说可能是救命的,但同时也会让人心悸。
有没有办法禁用用户名的这个功能?
2 个赞
另外,您有什么建议的步骤吗?
2 个赞
不要使用免费且可疑的电子邮件服务,但 Gmail 和 Hotmail 除外,包括 mail.ru、alibaba 等。并且在使用免费或不可靠的 Wi-Fi 时,请使用强密码和 VPN。这是正常的安全措施。
但这与 Discourse 无关。
3 个赞
我是一名苹果用户,并且订阅了 iCloud Plus,它提供了“私密转送”(基本上是 VPN)。
是的,我正在使用建议的、保存在 iCloud 钥匙串中的非常强大且长密码。
这样够吗?
1 个赞
您可以使用 hide email address taken 管理员设置,这样密码重置请求将需要完整的电子邮件地址:
关于如何为您的电子邮件帐户创建密码的建议超出了本论坛的范围,但我相信您的电子邮件提供商会为您提供一些很好的资源。 
2 个赞
正如 Jakke 所提到的,这取决于您的邮件服务,iCloud 可能相当安全,但我对此并非专家。
通常有一个双重身份验证选项,这意味着您需要密码和物理安全密钥才能登录,或者需要身份验证应用程序生成的身份验证代码。
2 个赞
我相信这条消息的意思是,如果你没有请求这条消息,就没什么好担心的。对吗?
2 个赞
在 Meta 重置密码时,电子邮件内容如下:
“有人请求重置您的密码。如果不是您本人操作,您可以忽略此邮件。”
也许可以为不同的网站自定义不同的说法。
在密码重置选项中,还提到如果有人无法访问电子邮件,可以联系 discourse 的工作人员,但不知道他们的具体流程是什么。
3 个赞
管理员可以更改(几乎)所有文本。只需转到 admin > customize > text。
即使这个文本对于(几乎)所有论坛来说都相当通用,但它之所以有效,是因为情况就是如此,请求新密码并非任何安全风险。如果发生得相当频繁(就像不久前在 Instagram 上发生的那样),可能会有点烦人。
3 个赞
这很有帮助,谢谢你!!
3 个赞
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.