您是否使用密码管理器来生成您的密码?
我没有。我设置了自己的密码。
您能重现该问题吗?如果可以,请问您使用的是哪种具体的浏览器?
仅在手动触发“为我建议一个密码”场景时才会发生这种情况。
典型的 Chrome 密码保存操作不会出现这种情况。我认为这更有力地证明了这是 Chrome 的一个漏洞,特定于在创建新账户时通过手动右键点击触发的“建议”步骤?
是的,@riking 已更新漏洞报告为:
Chrome 密码生成器导致 Discourse 论坛功能异常
根据我的测试,这确实是正确的。
另请注意,如果您在该域名下已保存过密码,此“建议”选项将根本不会显示。这给测试带来了麻烦,因为您必须选择一个您从未登录过的域名下的 Discourse 站点,或者删除该域名下所有已保存的密码。
我刚刚在 Chrome 浏览器中成功创建了这个网站的账户,没有任何问题,@sam。
我还退出后使用 Chrome 保存的密码重新登录,同样没有任何问题。
因此,为了完全明确:这个 bug 特定于 Chrome 中的“建议密码”功能。至少,如果你像我一样使用 Chrome 的默认设置,情况就是这样。
还有那个“让 Chrome 为您生成密码”的弹窗,它仅基于一些奇怪的启发式规则出现,若点击位置不当便会消失,可能还受实验性功能标志影响,在移动设备上则表现为一个奇怪的栏……
不过,右键点击是触发该功能的可靠方式。
你希望在这里做什么?我有相当把握可以移除蜜罐,并用一个对脚本小子同样烦人的方案来替代。
我们如何快速为我们的网站禁用此机制?这是我在大规模邀请合作伙伴前夕最关心的主要问题。我们可以在官方热修复发布之前先将其禁用。
附:只是一个想法,你们可以将当前算法设为可选。
根据复现步骤,无需额外操作,该漏洞位于 Chrome 密码建议器中。最佳方案是等待他们修复。
你好!我还在想我们现在该如何禁用此功能?
您需要一个主题组件,我建议在 Marketplace 上发帖。
能否发布关于如何禁用此功能的说明?我们可以为此编写一个插件,因为我们需要在我们的实例上修复它。我们使用 Discourse 作为 SSO 提供商,如果不允许用户注册,基本上会将他们排除在我们的整个基础设施之外。
它不需要是一个插件。
如果这样听起来更好,我可以写代码来修复它:slightly_smiling_face
这是一个非常严重的问题,用户无法注册。肯定有解决办法:confused
我担心至少还要再关闭三周,以便给谷歌一个修复此问题的机会。
我理解大家感到沮丧。@codinghorror 在此提出的诉求是 Chrome 密码生成器已损坏,谷歌应修复 Chrome。Discourse 方面表示,除非有实际客户推动,否则我们拒绝为 Discourse 核心添加开关或设置。
如果您想绕过此问题,只需编写一个约 10 行的主题组件即可,甚至可能更少。
这……甚至比这篇帖子本身的字数还要少。
如果您确实需要该主题组件,请在 Marketplace 发帖,我保证会有人愿意开发。我自己构建该组件只需 15 到 20 分钟。如果您悬赏 2000 美元,我保证一定有人愿意以每小时 2000 美元的速度接单。
我在自己搭建的网站上遇到了这个问题,起初以为是我自己的问题,毕竟我是个新手。
如果我没理解错的话,这个问题其实已经找到了原因,但开发者却索要2000美元来修复这短短十行代码,或者我们可以等待看看谷歌是否会针对这个模糊的问题改变他们的做法?有人知道解决的可能性或时间线吗?
谢谢。
我并没有这样理解。他只是说,如果你提供2000美元,开发者就会有动力快速提供一个绕过Google Chrome漏洞的临时方案。但到目前为止,还没有人提出任何报价以获取评估或报价,甚至没有人尝试通过众包来解决这个问题。
Discourse团队实际上并不打算为这个Chrome漏洞提供临时解决方案,除非他们的付费客户有此需求。因此,选择这一方案可能只需支付1200美元(每月100美元),即可享受一年的Discourse托管服务(教育、非营利和开源网站可能享有额外折扣)。
该问题仅在选中“建议密码”选项时出现。或许预期的解决方案是通过主题组件在菜单中移除或隐藏该选项。