Codinghorror の投稿以降、require change email confirmation 設定が追加されたことが私の注意を引きました。これは、スタッフ以外にもメッセージを送信できるようになったことを意味します。
このテンプレートの編集をブロックする当初の理由は当時有効でしたが、今日ではそれが提供する保護は異なります。管理者パスワードを知っている攻撃者は、単に次のことができます。
- パスワードを使用して、そのアカウントの 2 要素認証を設定します。
- 新しいアカウントを作成します。
- 2FA コードを使用して、新しいアカウントに管理者権限を付与します。
そこから、管理者がアドレス変更を確認するためのリンクをクリックする必要なく、バックアップを自分のメールアドレスに送信できます。
したがって、質問は次のとおりです。このテンプレートの編集をブロックすることは、まだ理にかなっていますか?これは現在一般ユーザーにも送信されており、バックアップのダウンロードを保護しなくなりました。
また、Data Explorer は常にインストールされ、データベースにアクセスするために使用できるようになりました。