セキュリティに関する質問は安全ではなく、簡単に推測できますが、セキュリティに関する質問に答えると、安全に準備されたリンクを送信して電子メールにパスワードを再設定するだけですか?再び問題になるのだろうか?セキュリティに関する質問とその安全性の使用
また、私のコードではPDOを使用しているので、SQLインジェクションに心配はありません。
セキュリティに関する質問は安全ではなく、簡単に推測できますが、セキュリティに関する質問に答えると、安全に準備されたリンクを送信して電子メールにパスワードを再設定するだけですか?再び問題になるのだろうか?セキュリティに関する質問とその安全性の使用
また、私のコードではPDOを使用しているので、SQLインジェクションに心配はありません。
私はセキュリティ上の疑問に強い反対です:彼らはfalse sense of securityを与えます。
アプリケーションセキュリティの正式なソースはOWASPですが、忘れたパスワードの処理方法については、Forgot Password Cheat Sheetに記載されていますが、この誤ったセキュリティの感覚を補う付加価値はありません。
本当に使用する必要がある場合は、チートシートのガイドラインに従ってください。
ユーザーがリクエストによってスパムを受けることが懸念される場合は、レート制限またはキャプチャを追加できます。
ところで、あなたのnewsfactorのリンクは、広告ブロッカーを使ってユーザーを恥ずかしくしようとします。 : –
@ScottArciszewski:あなたは正しいです(私は広告を喜んで表示した私の携帯電話でそれを忘れました - 私の脳は自動的に捨てました)幸いにも私たちはすべての大人です、そして私たちが最良の行動であると考えることを恥ずかしくはしません( 'OK'を押すか、ホワイトリストに戻る、決して戻ってくることはありません) – WoJ
代替手段がある場合に備えてお知らせしたいと思います:) –
ユーザーの確認済みのメールにリセットリンクを送信するだけで十分です。 – dejavu
とワンタイムトークンを使用し、確認後に削除します。 –
何が違うのですか?SMS MFAまたはTOTP MFA? –