Quando gli utenti attivano la modifica della posta elettronica, inviamo un collegamento al loro nuovo indirizzo email.
Se l'utente segue il link, dovremmo procedere con la modifica della posta elettronica solo dopo l'autorizzazione (effettuando l'accesso al sito) oppure possiamo semplicemente modificare l'email come nel flusso di reimpostazione della password?
Probabilmente dovremmo aggiungere un pulsante CTA (forse reCaptcha) per prevenire gli sniffer dei link e-mail.
Quali altre implicazioni sulla sicurezza potrebbero esserci nello scenario no-auth?