今天研究Blog的找回密码功能,就去看了果壳网的找回密码逻辑:
果壳的找回密码功能只需填写Email地址就将新密码发送到用户的邮箱中。
这样虽然方便了一点,但是却有重大隐患:
虽然有验证Email地址,但也只是验证邮箱是否存在。如果用户的邮箱被发现,比如像liwei@sina.com, wanglei@sina.com这种常见姓名的Email地址,任何人都可以填写这个邮箱,虽然不能知道用户的新密码,但是也会造成此用户密码被重置,无法用户原密码登陆,用户体验很糟糕。
如果有人用大量邮箱地址恶意刷果壳的话,恐怕会有很多用户受害。。。
2 Comments
博客的密码你用软件找吗。。好像也只能用软件找。。
嘿嘿~看了~嘎嘎~