Accesso dopo l'email di reimpostazione della password inviata (ma non attivata)

1

Se un utente può richiedere una e-mail di reimpostazione della password e quindi accedere (ad esempio ignorando l'e-mail di ripristino e utilizzando la password esistente) o l'account corrente deve essere bloccato fino a quando la password non viene ripristinata?

Se disabilitassi l'account potrei vedere questo essere abusato da una terza parte (cioè richiedere una reimpostazione della password per un account non proprio) e rendere più difficile l'accesso da parte dell'utente reale.

Pensieri?

    
posta mtpettyp 13.03.2014 - 16:56
fonte

2 risposte

2

Come dici tu, devi consentire all'utente di continuare ad accedere altrimenti potrebbe essere abusato. Se li blocchi in modo efficace, crei una vulnerabilità di tipo Denial of Service consentendo a un utente malintenzionato di negare il servizio a un utente legittimo.

Non riesco a vedere cosa si ottiene bloccando l'utente. se si impedisce a qualcuno che ha ottenuto l'accesso alle credenziali dell'utente di continuare a utilizzare l'account, si otterrebbe tale risultato invalidando qualsiasi sessione utente (a parte la sessione corrente) al ripristino della password (una volta che il collegamento è stato seguito e una nuova password impostata).

    
risposta data 13.03.2014 - 17:09
fonte
3

Dovrebbero essere autorizzati ad accedere dopo l'invio dell'e-mail.

Dopo aver fatto clic sul link di ripristino nell'e-mail è ciò che attiva il ripristino, senza richiedere l'e-mail. Come dici tu stesso, il blocco dell'account quando si richiede la reimpostazione della posta potrebbe portare ad abusi.

    
risposta data 13.03.2014 - 17:08
fonte

Leggi altre domande sui tag