Reimposta la password con il client di posta elettronica che verifica il collegamento

Naviga le tue risposte
1

Ho riscontrato la situazione in cui il client di posta elettronica controlla tutti i collegamenti nelle e-mail, in modo tale che quando invii un'email con un link per la reimpostazione della password, l'utente ottiene la nuova password temporanea nella successiva e-mail in una volta. Ma dovrebbe essere inviato solo se l'utente fa clic sul collegamento.

Ripristina scenario:

  1. L'utente inserisce il login e l'indirizzo e-mail e premere il pulsante di ripristino
  2. L'utente riceve un'email con il link di ripristino
  3. L'utente fa clic sul link
  4. L'utente riceve un'email con password temporanea
  5. Utente accede con password temporanea

Potresti raccomandare una soluzione a questo problema?

    
posta Dmitry 25.10.2016 - 12:43
fonte

1 risposta

2

Potresti inserire captcha nella pagina temporanea. Si estenderà qualsiasi client automatico.

Inoltre, per risparmiare tempo agli utenti, è possibile creare una whitelist di popolari user-agent in cui captcha non sarà necessario. In questo modo la maggior parte degli utenti non vedrà un passaggio aggiuntivo e sarai protetto contro i client automatici.

NOTA: Questa NON è protezione in termini di sicurezza. Ricorda che l'user-agent può essere facilmente falsificato da qualsiasi client.

    
risposta data 25.10.2016 - 13:43
fonte

Leggi altre domande sui tag

Esiste comunque la possibilità di sondare le porte aperte? Vulnerabilità del cuscinetto Oracle OpenSSL (CVE-2016-2107)