Cita: claro, si un atacante descubre uno de dos, y se logra generar el código el cual llega al correo pero el atacante obviamente no tiene, es donde espesará a invadir la url aplicando hashes aleatorios, la idea es invalidar el primer intento de un hash que no coincida con un mail; así reduces de un tajo la probabilidad de que al n intento logre conseguir el hash correcto, para ese entonces se invalida la regeneración de contraseña.
1) la invalidacion si encuentra un email e intenta fallidamente, podria ser..
- borrar el registro en la tabla que guarda los pedidos de recuperacion en la base obligando a solicitar recuperacion nuevamente?
- bloquear pedidos de recuperacion por x tiempo a partir de x intentos fallidos para ese email?
pero para el caso que este buscando direcciones, como se podria invalidar los intentos cuando no coincidan con un emal? entiendo que bloquear ip's no serviria si las cambia en cada intento..
2) Al margen de la solucion de concatenar y hacer substr (que es lo que creo hare unido a otro algoritmo)..
La forma en que genere el codigo influye en alguna manera si el atacante ingresa el codigo justo?