Я создаю веб-сайт php с ограниченным количеством пользователей в любое время (максимум 20). Я потратил довольно много времени на его обеспечение и провел много исследований по этой теме.
Я столкнулся с проблемой при использовании безопасной системы сброса пароля. Я хотел бы использовать наиболее удобный способ - отправить пользователю электронное письмо с URL-адресом, содержащим токен для сброса пароля. Токен привязан к определенному пользователю и действителен только в течение определенного времени. Увы, это не кажется безопасным, поскольку почтовый трафик может быть перехвачен. Я думал о дополнительных проверках токена, таких как ip и браузер (http_user_agent), но это тоже можно обойти.
Я мог бы использовать контрольный вопрос или связать код с токеном, который должен быть предоставлен администратором, чтобы использовать URL-адрес токена (можно управлять из-за ограниченного числа пользователей), но я бы предпочел этого избежать.
Я заметил, что Facebook, Tumblr и, вероятно, многие другие используют удобный способ отправки электронного письма с URL-адресом без дополнительных вопросов безопасности или чего-то подобного. Учитывая, что безопасность является одним из главных приоритетов этих компаний, как им удается сделать этот процесс безопасным (я так полагаю)? Есть ли какие-то специальные проверки безопасности, которые они проводят? Или утечка электронной почты-трафика-перехвата-безопасности немного преувеличена?
Заранее спасибо.