Per quanto posso dire thread.com registra automaticamente i propri utenti in base a un token nelle loro e-mail, accodato all'URL.
ad es. link
Questa è una funzionalità davvero utile e fantastica e semplifica l'interazione con il sito senza dover ricordare / accedere in qualsiasi momento.
Tuttavia, salvano anche i dettagli della carta di credito e dell'indirizzo per un checkout facile.
Quindi, a meno che non mi sfugga qualcosa, se un utente ha inoltrato una delle sue e-mail a qualcuno e dice che è stata nuovamente inoltrata, chiunque può accedere al proprio account, vedere le proprie informazioni personali e fare casino con i propri soldi. Puoi anche trovare l'URL nella cronologia di un browser e accedervi lì.
Sono io o è un enorme difetto di sicurezza e, se il peggio accade, quindi un'esperienza utente terribile. I benefici sono brillanti ma i rischi potenziali sembrano superare di gran lunga tali benefici.
Se mi sono perso qualcosa e questo è fatto in modo sicuro, come lo stanno facendo?