web-dev-qa-db-fra.com

Le lien pour restaurer le compte utilisateur devrait-il le conduire à la page de connexion?

Pinterest a une fonction désactiver mon compte.

Une fois que l'utilisateur a désactivé son compte, il reçoit un e-mail avec le lien de réactivation du compte:

enter image description here

Ici, réactivez les liens des boutons vers le formulaire de connexion avec nom d'utilisateur et mot de passe.

Mais est-il OK de lier l'utilisateur au formulaire de connexion? Je pense qu'à ce moment-là, l'application Web ne devrait pas s'attendre à ce que l'utilisateur connaisse le mot de passe, il serait donc préférable d'afficher un formulaire avec juste le mot de passe et la confirmation du mot de passe:

mockup

télécharger la source bmml - Wireframes créés avec Balsamiq Mockups

Après avoir cliqué sur Déverrouiller, mon utilisateur de compte serait connecté. Je ne vois aucune vulnérabilité de sécurité dans l'approche proposée si l'URL de ce formulaire contient un jeton aléatoire impossible à deviner.

4
Andrei Botalov

Un jeton "impossible à deviner" peut toujours être forcé brutalement. En outre, vous envoyez un e-mail à l'utilisateur en premier lieu (qui contient le lien de réactivation secret) - l'e-mail n'est pas sécurisé. Ce sont les raisons pour lesquelles Pinterest vous oblige probablement à vous reconnecter avec votre ancien mot de passe (donc, pour répondre à votre question, oui, vous devez forcer l'utilisateur à se connecter pour restaurer son compte).

Modifier: voir la vulnérabilité sensible au temps concernant les e-mails de réinitialisation de mot de passe

1
Joshua Barron