«Сделан» способ сделать сброс пароля, кажется следующее:Как работает безопасная функция «потерянного пароля»?
- Создает временный маркер (
zs8Abn27
) - знака Хранить в базе данных вместе с истечением срока
- Email токена пользователь
- пользователь переходит на
/password_reset?t=zs8Abn27
- Токен проверяется по базе данных на валидность
- Если действительный пользователь получает новый пароль, который хранится в базе данных (соленая и bcrypted, конечно)
Мой вопрос, если хакер получает доступ для чтения/записи базы данных прочитать бы им не только быть в состоянии создать свои собственные маркеры, и получить доступ таким образом? Даже если у них просто был доступ к чтению, они могли использовать токены, которые они могут видеть, чтобы получить временный доступ.
Для записи это полностью концептуально, мне просто интересно, как вы можете сделать такую функцию безопасной.
'если хакер получает доступ для чтения/записи к вашей базе данных, они просто не смогут создавать свои собственные токены ... если хакер уже получает доступ к базе данных, то почему он/она будет создавать свои жетоны. .: D – Asif