<div dir="ltr">The new reset actions doesn&#39;t require the user to authenticate prior to performing them. Is it not a bit dangerous that the user can change the email address without authentication?<div><br></div><div>For reset password we obviously need to be able to do it without requiring authentication, but shouldn&#39;t &quot;bypassing&quot; authentication be limited as much as possible?</div></div>