L'utente dovrebbe essere autorizzato nel sito dopo aver seguito l'e-mail di conferma della modifica?

2

Quando gli utenti attivano la modifica della posta elettronica, inviamo un collegamento al loro nuovo indirizzo email.

Se l'utente segue il link, dovremmo procedere con la modifica della posta elettronica solo dopo l'autorizzazione (effettuando l'accesso al sito) oppure possiamo semplicemente modificare l'email come nel flusso di reimpostazione della password?

Probabilmente dovremmo aggiungere un pulsante CTA (forse reCaptcha) per prevenire gli sniffer dei link e-mail.

Quali altre implicazioni sulla sicurezza potrebbero esserci nello scenario no-auth?

    
posta Mārtiņš Briedis 07.11.2018 - 18:23
fonte

1 risposta

1

Se non si dispone di una fase di autorizzazione nella conferma, se l'utente digita l'email e una persona non autorizzata riceve il collegamento e conferma, la persona non autorizzata può ottenere l'accesso completo all'account tramite la funzione "password dimenticata" .

Questo mi succede sempre. Le persone usano il mio indirizzo email per errore quando si registrano per le cose. Posso confermare l'e-mail, quindi potrebbe quindi reimpostare la password.

Penseresti che l'utente se ne accorga, ma ricevo una dozzina di email al giorno destinate ad altre persone che non hanno capito che un servizio mi sta inviando le loro informazioni. (Non posso apportare modifiche da solo perché ciò significherebbe ottenere accesso non autorizzato all'account dell'utente).

    
risposta data 07.11.2018 - 18:34
fonte

Leggi altre domande sui tag