淘宝用户进行修改密码时，不验证旧密码，只需输入新密码……

有什么问题吗，你先搞清楚淘宝怎么实现“当前环境”安全的验证，别拿着半截就开跑。

换个新 IP，开浏览器隐身模式试下。

你也说了，提示当前环境安全，还验证个啥子，你支付不是要支付密码么

啥他没验证? 喷他?
撸主说话真就不过脑子 自己还说了条件 当前环境

淘宝会判定你的 ip 是否是常用登陆地。
流程简单了也要被用户说，复杂了也要被用户说。企业真的很为难。

亲亲，这边建议您别再用淘宝了呢。

你换个环境验证到你怀疑人生。。

阿里猿工表示很委屈

亲，我们决定百万年薪邀请您来解决这个问题

淘宝已经登录了好一会，一直在看其他页面（非淘宝），然后突然想起来了，点过去修改密码。。。。。连旧密码都没有验证的！还没明白吗？一般修改密码最起码要验证旧密码吧？要验证旧密码啊！！！

如果还是不了解，哪天同事、领导、下属、客户、供应商、客人、女朋友、男朋友、老公、老婆、儿子、女儿、孙子、孙女……不、任何一个人陌生人都可以在你短暂离开电脑（ 1 分钟就够了）的时间内修改掉你的密码，然后美滋滋的从其他电脑登录，查看你的一切内容。。。。。对方本人还可能莫名其妙，咦，为什么登录不了了，然后花上一大堆时间去尝试找回密码（前提是知道有找回密码这个功能，还能经过各种验证。。。有的可能直接放弃这个帐号了）

当你关掉页面后，忘记刚才登录了淘宝，美滋滋的在做其他事情，要等到你下次用淘宝的时候才会发现，淘宝密码不能用了。。。。这时候什么都晚了噢！！！

虽然设计成不验证旧密码的网站也存在一些，但是淘宝这种安全性抓得很稳的，还是第一次见。。。
@nfroot @a852695 @crab @fnh @Light3 @goodan @kanata @SakuraKuma @baiyun888 @liangguan5

看发帖记录
只是眼高手低的用户

@nfroot 按照你的理论，是不是还得判断，是否是有人偷窥了你的密码，是否是有人捡了你的手机，然后登陆在申请的修改密码？
简化用户操作和相对安全之间总要有个平衡。何必这么较真，按照你这种死钻牛角尖的思维，这种问题是没法解决的。

@nfroot #10 只要不是支付密码怕什么呢

@nfroot #10 你离开电脑了。。那为啥不锁住。。这是常识吧。。

离开电脑不随手 win+l，你觉得是谁的问题

@nfroot #10 安全是个厂商和用户共同参与的过程，看你的假设说你离开电脑，要知道个人信息安全意识里可以是有锁屏这一说，而且极端个例谁不会举，来来来我给你举两三个。1、你的密码是你爱人生日，被你爱人尝试出来了，怪厂商不验证； 2、你离开电脑不锁屏，别人用 Chrome 浏览器打开淘宝改密码，怪 Chrome 在 History 页面没验证； 3、你锁了屏，但被别人插 U 盘用 PE 破解了密码，怪淘宝不验证。
建议楼主先去了解一下个人信息安全基础意识再来想为什么离开电脑不锁屏这件事应该怪厂商。

别人改了你的，你可以再改回来，不怕。

@nfroot "任何一个人陌生人都可以在你短暂离开电脑（ 1 分钟就够了）的时间内修改掉你的密码，然后美滋滋的从其他电脑登录，查看你的一切内容"

章口就来？就算给你密码，你在陌生环境登录也得过二次认证吧。

另外，请楼主想一个安全验证方案，手机验证码？万一手机放桌上被看到验证码，也怪淘宝没做更严格的验证咯？

下结论之前，最好自己先试试。写代码的，严谨是底线。