Как часто может меняться IP ?

Короче, я уверен, ты решаешь несуществующую проблему.

Вопросы безопасности надо решать не задним числом, когда все протекло, а правильным подходом к проектированию. Не имеет значение, как именно могут утечь данные из почты, достаточно знать что к ним имеешь доступ не только ты.

достаточно знать что к ним имеешь доступ не только ты.

Я не уверен что ты под этим конкретно имеешь виду. Но если нужна «абсолютная» безопасность то не используй почту. Вообще (мало ли кто её читает). И на IP расчитывать нельзя, он меняется.

Но тогда становится очевидно что «безопасными» системами жутко неудобно пользоваться. И большинству юзеров пофиг на мифическую безопасность, особенно если это не банк.

А так, я своё мнение сказал: постить ссылки с форумов на почту можно. И как поступать с ботами (если бы они существовали) тоже понятно: повесить форму или кнопочку. Всё равно форма нужна т.к. юзер может на ссылку кликнуть случайно (у меня вот это было буквально пол часа назад).

PS касательно твоего примера что бот ходил по админке и посты удалял. Были раньше такие движки что через GET-запросы ресурсы удаляли. Вот эти-то и пострадали. Был бы POST / DELETE всё было бы относительно хорошо (да, я читал что гуглобот может в отдельных извращённых случаях сделать POST-запросы, это другое).

Я не уверен что ты под этим конкретно имеешь виду.

То что ты никак не контролируешь как может использоваться содержимое твоих писем на халявных вебпочтах.

Но если нужна «абсолютная» безопасность то не используй почту. Вообще (мало ли кто её читает).

Нет ни какой абсолютной безопасности. Есть конкретная задача - обеспечить безопасный и достаточно удобный логин. Почта для этого хорошо подходит, просто надо делать аккуратно.

И на IP расчитывать нельзя, он меняется.

Уже обсудили. Надо куки вместо IP сделать.

Сделай и куки и IP. Чтобы совпадало хотя бы что-то одно из двух.

если приворачивать проверку IP в email c «нажмите ссылку для подтверждения»

А нафига оно нужно то? Что дает эта проверка?

Надо куки вместо IP сделать.

Тот же вопрос.

Юзер проверяет почту исключительно со смартфона а лазает с десктопа? Подозрительно как-то.

Чтобы прям исключительно - врядли, а так вполне реальный кейс «из жизни»:

Нажал кнопочку, взял мобилку и пошел в туалет делать коммит, заодно «чтоб время не терять» подтвердить по ссылке, которая должна придти в почту.

Ну или масса других ситуаций, когда тыкнул из расчета что «минут через 5 придет» и отлучился от компа на обед/покурить/с девушками знакомиться/на какое-то очень важное и невероятно скучное мероприятия

Ему ж на экране напишут «а теперь у тебя ровно 1 минута чтобы открыть ссылку из почты в этом браузере».

Вопрос был в другом - тут проскакивали заявления, что вот лазать с компа можно, а открыть на нем почту ну никак нельзя, только через мобилку.

Присоединяюсь.

Еще не менее жизненный вариант вот ходите вы на работе по всяким «злачным» местам, регаетесь там, а логиниться с рабочего компа в личную почту не хотите (банально, чтобы человеку за спиной не палить, что у вас там лежит).

Типа, логиниться в почту западло, а в злачный сайт нет :) ?

Ну хер знает, практика конечно показывает, что люди вообще странные а хотят совсем невозможного. Этим страдальцам запасной вариант - «откройте ссылку ЛИБО ВБЕЙТЕ НОМЕР ИЗ ПОЧТЫ ВРУЧНУЮ».

Вопрос опять-таки в другом - не «как сделать для 100% круто», а «как сделать круто для большинства и приемлимо для остальных». Меня пока никто не убедил, что «не меньше чем половине прийдется уродоваться».

На злачном сайте вы котиков смотрите/обсуждаете, а в почте у вас могут быть письма от эйчаров конкурентов или «сообщение о регистрации на mlp-fans» или еще что-то такое.

Не важно. Я написал в чем суть.

потому что программисты предпочитают белые айпишники

белый ip тоже может меняться каждые 10 секунд