0

もっと理論的な質問です。安全なログイン システムを作成していますが、パスワードのリセット URL に有効期限を設定する理由が見つかりません。

彼らの考えは、誰かがあなたのメールにいて、あなたのパスワードをサイトに変更したいということでした. URL の有効期限が切れている必要があります。これを回避するには。彼らは、すでに侵害された電子メール アドレスに対して別のパスワード変更を要求する可能性があります。

とにかく期限切れにするのに時間がかかりました。別の予備の電子メール アドレスまたは携帯電話番号が、これを回避する唯一の方法だと思います。私はキム・ドットコムのお金を借りていると思います。

4

1 に答える 1

0

詳しく説明しなくても、問題のある状況が 2 つあります。

  • ユーザーは、ローカル ストレージの電子メール クライアント (Outlook など) を使用しています。アカウントは侵害されていませんが、ローカル ストレージは侵害されている可能性があります。
  • 電子メール アカウントは、ユーザーがもう使用していない古いサービス プロバイダーに属している可能性がありますが、侵害されたアカウントの電子メールは依然として「有効な」要求を生成できます。

したがって、古いリンクを評価する際に考えられるすべての障害点を考えるのではなく (1 つまたは 2 つのケースを見逃す可能性があります)、リセット トークンの期間を平手打ちするだけで、古いリンク/トークンの使用を防止できます。

于 2013-05-24T20:36:46.313 に答える