Il modulo di reimpostazione della password di Identità di base di ASP NET richiede l'indirizzo e-mail

3

Ho notato che i modelli di identità di base ASP.NET predefiniti richiedono l'indirizzo email dopo il link di notifica email di ripristino è stato seguito (ovvero il modulo "scegli una nuova password" nella visualizzazione ResetPassword.cshtml ).

Perché chiedere all'utente di fornire nuovamente il proprio indirizzo email quando si sceglie una nuova password è più sicuro?

Ho capito che il token potrebbe essere annusato dall'email , ma se questo è il caso, allora sicuramente l' indirizzo email potrebbe essere annusato allo stesso tempo ?

    
posta Steve S 23.05.2017 - 11:53
fonte

1 risposta

1

Probabilmente solo una supervisione dell'usabilità.

Non penso che abbia alcuna relazione con la sicurezza, dal momento che puoi semplicemente aprire il link di reset se possiedi l'indirizzo email a cui è stato inviato. Quindi, conosci l'indirizzo email. Come hai sottolineato, non vi è alcun motivo per "proteggere" questo indirizzo email e puoi semplicemente riempirlo di default nel modulo che salverà l'utente nel tentativo di digitarlo.

    
risposta data 23.05.2017 - 16:05
fonte

Leggi altre domande sui tag