Ruby China

Homeland 不懂就问,homeland 的新用户注册为何不需要邮箱验证?

hanwang · 2020年09月27日 · 最后由 hanwang 回复于 2020年09月27日 · 521 次阅读

大家好

我有个问题关于新用户注册,从安全角度考虑。新用户注册提供的邮箱为了防止恶意和机器人注册,不是常规操作都是需要点击邮箱验证链接后才算完成注册么。

按照现在的方法,如果:

假设我的邮箱是 [email protected]

  1. 我注册的时候写错了,写成了 [email protected]
  2. 我直接登录了,然后发了个帖子
  3. [email protected] 收到了欢迎邮件
  4. 拥有 [email protected] 邮箱的人使用找回密码,更改密码
  5. 这个人可以随意改我的帖子,删除我的帖子,或者删除我的账户

我看系统的找回密码已经有生成链接的逻辑了,想知道下注册不进行邮件校验的初衷。

@huacnlee

先谢谢大家了

huacnlee #1 2020年09月27日

因为可以通过邮箱找回密码找回账号,所以抢注不影响。

确认邮箱流程,在 Homeland 这类场景这么做会显得太复杂

hanwang #2 2020年09月27日
huacnlee 回复

可是按照上面注册用户手滑的例子,他的邮箱是 [email protected],他已经发了一个帖子的假定条件下。 [email protected] 没有注册,但他收到了欢迎邮件,就可以冒充上面的那个发帖人了。

hanwang #3 2020年09月27日
  • A 用户注册的时候填成了 B 的邮箱
  • B 收到欢迎邮件
  • B 密码找回
  • B 进入 A 的账户

注册的时候只需要输入一次邮箱地址,typo 的概率很大。

需要 登录 后方可回复, 如果你还没有账号请 注册新账号