Me gusta el aspecto de esta técnica para enviar enlaces de restablecimiento de contraseña:
(TLDR: no almacenar el token en la base de datos. Enviar enlace de restablecimiento de contraseña con dirección de correo electrónico, tiempo de caducidad y hmac correspondiente)
especialmente después de leer sobre el restablecimiento de Mozilla / Bugzilla error .
Aunque parece que es vulnerable a los ataques de repetición.
Q1 : ¿En qué circunstancias es vulnerable, asumiendo un buen HTTPS?
Creo que alguien que monitorea el tráfico de mi red (en un punto de acceso wifi) no podría simplemente reproducir la solicitud GET en el enlace, ¿correcto?
P2 : si solo es un ataque de repetición si un atacante tiene acceso a mi correo electrónico o acceso físico a mi computadora, no es tan vulnerable el restablecimiento de contraseña basado en token, ya que el atacante podría simplemente solicitar un nuevo enlace?