Scenario: registrazioni degli account del forum, l'utente deve fare clic su un'e-mail di attivazione dopo essersi registrati, ad es. creano un account con nome utente, e-mail, password e un'e-mail viene inviata all'e-mail che selezionano. Devono fare clic per "attivare" l'account.
Supponiamo che tutti i passaggi fino al clic dell'email siano sicuri per il caso / scopo del sito.
Capisco che l'account email degli utenti potrebbe essere compromesso, ma questo non è nel nostro controllo.
Quali problemi di sicurezza sono presenti nello scenario in cui registriamo automaticamente l'utente quando fanno clic sul link di attivazione nell'email (e l'attivazione ha esito positivo)?
Ho letto le risposte nella domanda Accesso a un utente dopo la reimpostazione della password tramite link , e sembra che il motivo più strong per NON registrare automaticamente l'utente sia quello menzionato da Tom Leek es. l'utente non sapendo di aver effettuato l'accesso automaticamente e potenzialmente di lasciare il dispositivo incustodito con una sessione autenticata ancora aperta, ecc.