발견: 준용 (PR 리뷰, CHANGES_REQUESTED) · 해결: PR #39 (
c0e7820)
증상: 로그인만 하면 비밀번호 재확인 없이 개인정보 수정/계정 삭제 가능.
원인: SecureEditForm.tsx에서 setVerifiedState(true) 직접 호출. /mypage/verify와 VerifyGate 컴포넌트가 리팩토링 중 삭제됨.
해결:
IsReauthenticated 퍼미션 + TimestampSigner(TTL=300s) — 재인증 후 5분간만 유효/mypage/verify 페이지 + VerifyGate 컴포넌트 복원교훈: 보안 기능 삭제 시 그 기능이 왜 있었는지 반드시 확인. OWASP A01 취약점 직결.