devel.cz

Existují nějaká bezpečnostní rizika vyplývající z toho, že po registraci uživatele rovnou přihlásím?
Přemýšlím o následujícím scénáři:
1) uživatel dokončí registraci (při které si zvolí heslo) a je automaticky přihlášen
2) na zadanou e-mailovou adresu je poslána notifikace o vytvoření nového účtu s instrukcemi pro postup při případném zneužití e-mailové adresy
Případně je v bodě 2 zaslán i link pro verifikaci e-mailové adresy (bez které budou některé citlivé funkce nedostupné)

Podobná situace nastává při resetu hesla - je možné po resetu hesla uživatele rovnou přihlásit?
1) uživatel zvolí možnost reset hesla a zadá svoji e-mailovou adresu
2) na zadaný e-mail mu přijde odkaz pro reset hesla (s omezenou platností)
3) uživatel po kliku na odkaz zadá nové heslo a je automaticky přihlášen