cosi se io conosco il tuo username posso cambiarti la pass.Originariamente inviato da raven74
Mah, io dicevo in modo diverso.
L'email NON la chiedi proprio. Chiedi solo lo username
e da quello ricavi tutto.
E' vero che la nuova pass verrà spedita all'intestatario dello username, però non è il massimo.
Secondo me l'ideale è:
1. chiedi la mail, verifichi che esista uno username associato e mandi una mail in cui chiedi se vuole cambiare la pass, dando un codice univoco di autorizzazione al cambiamento (ad esempio l'md5 di time()+username).
2. L'utente clicca sull'indirizzo che gli arriva via mail, che può conoscere solo lui, tu verifichi che il codice sia quello che ti aspetti e cambi la pass, mandando una seconda mail in cui la comunichi.
In questo modo anche se conosco la tua mail di riferimento posso inserirla, tu riceverai la mail di richiesta di conferma, se la ignori la pass non verrà cambiata, se invece clicchi sul link si.
Inoltre in questo modo non ricadi nel problema in cui l'utente si sia dimenticato la username.
Ovviamente perchè funzioni devi evitare che un utente si possa registrare 2 volte con lo stesso indirizzo email.
ciao
Rispondi quotando