Me llamaron la atención sobre el hecho de que, desde la publicación de Codinghorror, se ha añadido la configuración require change email confirmation. Esto significa que el mensaje ahora se puede enviar a más personas además del personal.
La razón original para bloquear las ediciones de esta plantilla era válida en su momento, pero hoy en día la protección que ofrece es diferente. Un atacante que conozca la contraseña de un administrador puede simplemente:
- Usar la contraseña para configurar la autenticación de dos factores para esa cuenta.
- Crear una nueva cuenta.
- Usar el código 2FA para otorgar derechos de administrador a la nueva cuenta.
A partir de ahí, pueden enviar la copia de seguridad a su propia dirección de correo electrónico sin necesidad de que un administrador haga clic en un enlace para confirmar un cambio de dirección.
Por lo tanto, la pregunta es: ¿sigue teniendo sentido bloquear las ediciones de esta plantilla? Ahora se envía a usuarios normales y ya no protege la descarga de una copia de seguridad.
Además, Data Explorer ahora siempre está instalado y se puede utilizar para acceder a la base de datos.