Escenario: registros de la cuenta del foro, el usuario debe hacer clic en un correo electrónico de activación después de registrarse, por ejemplo. crean una cuenta con nombre de usuario, correo electrónico, contraseña y se envía un correo electrónico al correo electrónico que seleccionan. Deben hacer clic para "activar" la cuenta.
Supongamos que todos los pasos hasta el clic del correo electrónico son seguros para el caso de uso / propósito del sitio.
Entiendo que la cuenta de correo electrónico de los usuarios podría verse comprometida, pero esto no está bajo nuestro control.
¿Qué problemas de seguridad están presentes en el escenario en el que iniciamos sesión automáticamente cuando el usuario hace clic en el enlace de activación en el correo electrónico (y la activación es exitosa)?
He leído las respuestas en la pregunta Iniciar sesión en un usuario después de restablecer la contraseña a través de un enlace , y parece que la razón más fuerte para NO registrar automáticamente al usuario serían las mencionadas por Tom Leek, por ejemplo: el usuario no sabe que ha iniciado sesión automáticamente, y potencialmente deja el dispositivo sin supervisión con una sesión autenticada aún abierta, etc.