Mi piace l'aspetto di questa tecnica per l'invio di link per reimpostare la password:
(TLDR: non memorizzare il token nel database. Invia link di ripristino della password w indirizzo email, tempo di scadenza e hmac corrispondente)
specialmente dopo aver letto del bug di .
di Mozilla / Bugzilla reset.Tuttavia sembra vulnerabile agli attacchi di replay.
Q1 : in quali circostanze è vulnerabile, ipotizzando un buon HTTPS?
Penso che qualcuno che monitora il mio traffico di rete (ad esempio un hotspot Wi-Fi) non sarebbe in grado di riprodurre semplicemente la richiesta GET sul link, correggere?
Q2 : se si tratta solo di un attacco di riproduzione se un utente malintenzionato accede alla mia email o al mio accesso fisico al mio computer, la reimpostazione della password basata su token è altrettanto vulnerabile, in quanto l'autore dell'attacco potrebbe semplicemente richiedere un nuovo link?