V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
laomo
V2EX  ›  分享发现

发现Pocket的重置密码功能一个问题,不知道算不算bug?

  •  
  •   laomo · 2013-10-13 21:56:29 +08:00 · 2884 次点击
    这是一个创建于 4058 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我刚才再尝试注册时发现用户名已经被用了,点击重置密码,发现可以选择通过用户名或者邮箱重置密码。然后选择通过用户名,重置密码的邮件发出去了。。也就是说,我知道别人的用户名,就可以这么搞
    7 条回复    1970-01-01 08:00:00 +08:00
    goofansu
        1
    goofansu  
       2013-10-13 22:05:29 +08:00
    然后呢?邮件还是发给那个用户啊
    finian
        2
    finian  
       2013-10-13 22:09:18 +08:00
    这。。。想说明什么呢
    laomo
        3
    laomo  
    OP
       2013-10-13 22:26:24 +08:00
    @goofansu @finian 想说这不合理吧?起码已经是对用户的骚扰邮件了
    goofansu
        4
    goofansu  
       2013-10-13 22:31:05 +08:00
    @laomo 要重设密码必定会发邮件。不管你是填用户名还是填邮箱,都不可避免的会发送邮件。

    假设你知道别人的邮箱,重设密码照样可以发邮件
    yushiro
        5
    yushiro  
       2013-10-13 22:31:07 +08:00
    只要发送重置信的那个界面有图片识别码, 就问题不大。
    而且这样设计, 还是方便用户, 万一遗忘了用户名, 只记得邮件地址的情况。
    (我就曾经忘记用户名, 忘记密码, 只记得注册邮箱, 结果不让我重置密码,因为用户名与注册邮箱匹配不上)
    chrisyipw
        6
    chrisyipw  
       2013-10-13 23:24:52 +08:00
    @laomo 没有不合理的。

    如果不是发到邮箱,那光凭用户名就只能走安全问题、backup code 等方式,这类是属于对安全性要求比较高的服务是正常的。但是 Pocket 并不属于这类服务——失去一个 Pocket 账号只意味着丢了 Archives 和 Favorites。

    作为可以通过用户名和邮箱登录的服务,不少人会忘了邮箱或用户名,因为不会有大量重复登录的需求,所以还不如直接允许通过这两个手段去找回密码。

    至于骚扰嘛,一旦发现有这个问题,用户就可以去建 filter 或者换一个不用的邮箱,Pocket 也可以建立 N 次请求后就需要验证码或禁止再次请求(或许已经有)。
    laomo
        7
    laomo  
    OP
       2013-10-14 09:40:25 +08:00
    可能我第一反映就是没见到过这种方法:在不知道注册邮箱的情况下,通过用户名重置密码。所以觉得有点怪。貌似确实不是什么大问题
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2757 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 02:16 · PVG 10:16 · LAX 18:16 · JFK 21:16
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.