« -: Oct 20, 2006, 20:18 »
Не мисля, че е добра идея да може да се сменя адреса на електронната поща в личния профил без искане на парола (при смяна на парола всичко е ОК). Получава се следната слабост:
1. някой Ви краде SID-a;
2. влиза в профила Ви и сменя адреса на електронната поща;
3. потвърждава от собствената си електронната поща, смяната й;
4. излиза от системата и иска "Забравена парола";
5. получава истинската парола в чист текст;
6. влиза обратно с потребител/парола;
7. връща обратно стария адрес на елкетронната поща;
8. атакувания потребител ще реши, че е някакво служебно съобщение и ще потвърди през пратения URL.
Така и атакуваният, и атакуващият ще могат да влизат по всяко време с оригиналните пароли. При това атакуваният вече няма как да се усети, освен при явни действия на атакуващия.