電子メールアドレスを変更しようとすると、メジャーサイト(eBay、Github)がパスワードを要求しないのはなぜですか?


3

ユーザーがWebアプリケーションのユーザーアカウント内で電子メールアドレスを変更すると、次のような問題が発生します。

攻撃者(セッションにアクセスできるユーザー)が電子メールアドレスを新しいもの(攻撃者のもの) "パスワードを忘れた"というリセットを要求する。その時点から、彼はアカウントを所有しています。

私の驚いたことに、主要なサイト(eBayからGithubまで)でさえ、パスワードなどを要求せずにメールアドレスを変更できるようになりました。私の理解では、これはインターネットカフェ/大学/共有コンピュータを介したアカウント買収を非常に簡単にします。そして、私は、eBayとGithubの背後にいる人たち(例えば)は、彼らが何をしているのかを知っていると思う。

これらのサイトでは、パスワードを尋ねずにメールの変更要求が許可されるのはなぜですか?

2

実際に、電子メールアドレスを変更しようとすると、githubはパスワードを要求します。ただし、あなたがすでにsudo modeにいるかどうか尋ねることはありません。

  0

誰かがコンピューターをコントロールしている場合、ちょうど1秒間オフになると、彼はそれを意味します。 13 8月. 132013-08-13 09:20:25

+1

私の目では、問題はこの場合のユーザーです。共有コンピュータでは、アカウントにログインしたままにしないでください。 13 8月. 132013-08-13 10:58:39

  0

ちょっと質問がありますが、パスワードを変更してから電子メールアドレスをリセットするのを防ぐにはどうすればいいでしょうか(今はpwを知っているので) 27 11月. 132013-11-27 16:45:46

  0

投機だけですが、電子メールを変更した後にパスワードを一定時間リセットします。 27 11月. 132013-11-27 22:19:11