----------------有请管理员,帐号激活方法存在很大漏洞
我的帐号是今天激活使用的,原以为激活是管理员人工发送链接至注册邮箱内,通过链接入站内重新设置密码,这么做是最安全的。后来收到短信才发现事实上目前采用的方法不是这回事,而是通过先注册小马甲,用小马甲告知老ID,管理员人工重置密码发到马甲站内信,这样做存在极大隐患,如果不及时纠正,可能给往后的网站管理带来很多负面作用。
现在简单说下隐患,从上面的操作我们可以看出:如果我注册个马甲,通过翻老帖子找到一些封存不活跃的老帐号,点击ID可以看到注册邮箱,把ID、邮箱发送给管理员,获得密码后,可以更改注册邮箱及重置密码,这样我就摇身一变获得一个合法的老会员帐号,之后通过灌水可迅速成长为金牌甚至钻石、化石会员,在不明真相的网友看来此ID含金量很高。如果让别有用心的人利用这一漏洞获得ID,日后必定又会出现很多原可避免的纠纷。
还记得11年还是10年?通过*宝买帐号的**?那段时间突然出现很多原先不活跃的老ID在尘封多年后突然活跃起来,通过灌水成长再发交易帖子之后纠纷不断的事,有多个ID我记得很清楚,在此就不点明,因为现在要说的与此无特别大关系。
以我刚才粗粗观察一下,已经发现有几个极为可疑的老ID处于激活在使用状态,当然这不能确定,只是可疑。
关于此事希望管理员能引起重视,在没有找到更好办法前,宁可先不激活,待修复自动发送邮件功能后再逐步自助激活更为稳妥。 这个也是个问题!!!
顶给领导看下!!!:victory: 确实应该注意这个漏洞 非常在理,希望管理层引起重视的同时,尽快采取措施补救+1
坐等真身苦主上来投门哭诉~~
[ 本帖最后由 mwyh 于 2013-5-31 19:26 编辑 ] 我擦,这叫什么事
我的邮箱W**ENG中含Z F ,这也屏蔽?
w**enghuang@sohu.com 账户只是虚名,关键还是要诚实守信,希望中华摄友一如既往,也希望网站管理走入正轨、越来越严谨……:hug: 我的(原ID:一脸麻子)却无论如何也上不去了。。。。。。 进来看看 现在两个ID了,一个中级会员,一个刚注册的马甲,留哪个呢,还在考虑 不能给别有用心的人有可乘之机