Question

Я могу запросить изменение адреса электронной почты для вошедшего в систему пользователя без указания пароля с помощью Cogito API, здесь с помощью функции JavaScript:

export function* updateEmail(username: string, email: string) {
    const cognitoUser = getCognitoUser(username);
    const attributes: ICognitoUserAttributeData[] = [{
        Name: 'email',
        Value: email,
    }];

    return yield new Promise((resolve, reject) => {
        cognitoUser.getSession((error: Error, session: {}) => {
            if (error) {
                reject(error);
            }
            cognitoUser.updateAttributes(attributes, (err, result) => {
                if (err) {
                    reject(err);
                }
                resolve(result);
            });
        });
    });
}

Это может позволить злоумышленнику изменить пароль вошедшего в систему пользователя, который оставил свой компьютер разблокированным:

Запрос изменения электронной почты
Подтвердите новый адрес электронной почты
Запрос на изменение пароля
Сменить пароль

Как остановить эту атаку?

Возможно ли, чтобы Cognito требовал пароль для запроса изменения электронной почты?

Brian Winant · Answer 1 · 23 января 2019

Невозможно заставить Cognito запрашивать пароль при изменении адреса электронной почты.Вы должны реализовать это самостоятельно, разместив форму смены адреса электронной почты за дополнительным этапом входа в систему или что-то подобное

Требуется пароль для изменения электронной почты Cognito?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Требуется пароль для изменения электронной почты Cognito?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов