为什么主要网站(eBay,Github)在尝试更改电子邮件地址时不要求密码?


3

当用户的web应用程序的用户帐户内将他们的电子邮件地址,我看到以下问题:

攻击者(谁拥有你的会话访问),可以将您的电子邮件地址变更为一个新的(攻击者的一个),注销并请求“忘记我的密码”重置。从那时起,他拥有了账户。

令我惊讶的是,甚至各大网站(从易趣到Github上)允许改变的电子邮件地址,而不要求密码等...在我的理解,这通过网吧/大学/共享计算机非常容易使帐户收购。我认为eBay和Github背后的人都知道他们在做什么。

为什么这些网站允许在不询问密码的情况下更改电子邮件请求?

2

其实,github会在您尝试更改您的电子邮件地址时询问您的密码。但是,它不询问您是否已经在sudo mode

  0

他的意思是,如果有人控制电脑,当你关闭只需几秒钟。 13 8月. 132013-08-13 09:20:25

+1

在我看来,问题在于这种情况下的用户。在共享的计算机上,您不应该仍然保持登录到您的帐户。 13 8月. 132013-08-13 10:58:39

  0

只是一个问题,但是会阻止您更改密码,然后重置电子邮件地址(因为现在您知道pw) 27 11月. 132013-11-27 16:45:46

  0

只是猜测,但也许他们在更改电子邮件后有冷却期,但您不能做一个固定的时间密码重置。 27 11月. 132013-11-27 22:19:11