我是在Linux吧看到的这个论坛,今天第一次来,来了以后注册一个号,但是在邮箱验证阶段感觉有逻辑上的安全漏洞。
我发帖之前看到可以修改邮箱,我试着随便修改了一个,然后账号又变成了未激活状态,需要重新激活。
原邮箱没有任何通知和提示,自己账户下没有安全登录的提示,我认为这样是不安全的。建议增加。
其次,在激活之前,我认为原邮箱应该可以在8小时之内撤销本次修改,如果是盗号的修改安全邮箱的话,这将是个安全漏洞。
最后希望可以开通邮箱登录功能(我没测试这项功能),以防自己忘记原先的账号而无法登录。
不然的话,每次忘记账号就重新注册一个,会造成大量冗余账户。
论坛使用phpbb来搭建,如你所说,phpbb确实是这样的,这是上游的问题。
还是希望大家能够使用一些较复杂的密码,并且最好能够定期更换。
另外,如果帐号出了问题的话,可以联系我,我会尽量帮忙解决的。