Почему основные сайты (eBay, Github) не запрашивают пароль при попытке изменить адреса электронной почты?


3

Когда пользователи меняют свои адреса электронной почты в учетной записи пользователя веб-приложения, я вижу следующую проблему:

Злоумышленник (имеющий доступ к вашему сеансу) может изменить ваш адрес электронной почты на новый (нападающий) выйти из системы и запросить сброс «забыл пароль». С этого момента он владеет счетом.

К моему удивлению, даже крупные сайты (от eBay до Github) позволяют изменить адрес электронной почты, не запрашивая пароли и т. Д. По моему мнению, это очень упрощает учет платежей через интернет-кафе/университетские/общие компьютеры. И я думаю, что ребята из eBay и Github (например) знают, что они делают.

Почему эти сайты разрешают запросы на изменение электронной почты без запроса пароля?

2

Фактически, github попросит вас ввести пароль при попытке изменить свой адрес электронной почты. Однако он не спрашивает, есть ли у вас уже sudo mode.

  0

Он имеет в виду, если кто-то возьмет контроль над компьютером, когда вы отключитесь всего на несколько секунд. 13 авг. 132013-08-13 09:20:25

+1

В моих глазах проблема заключается в том, что пользователь в этом случае. На общедоступных компьютерах вы не должны оставаться включенными в свои учетные записи. 13 авг. 132013-08-13 10:58:39

  0

Вопрос только в том, что помешало бы вам изменить пароль и затем сбросить адрес электронной почты (потому что теперь вы знаете pw) 27 ноя. 132013-11-27 16:45:46

  0

Просто спекуляция, но, возможно, у них период охлаждения после смены электронной почты, где вы не можете выполните сброс пароля в течение фиксированного времени. 27 ноя. 132013-11-27 22:19:11