Разное

Очевидно, будут доступны.
Но их не будет на компе того, кто контроль над е-мэйл перехватил, и по ссылке перейдет.
Если считать компьютеры запрашивающего (жертвы) и меняющего пароль (врага) разными.

Хм, т.е. если на сайте google.com во фрейме откроется сайт yandex.ru, то для yandex.ru будут недоступны кукисы, установленные на его (yandex.ru) домене?

А, так. Мне кажется, мы недопоняли друг друга :)
Вы прочитали
"письмо будет не ранее чем через полчаса отправляться."
А у меня написано
"письмо будет по новой не ранее чем через полчаса отправляться."

А потом я подумал, что вы имеете в виду этапы восстановления (запрос, отправка хэша, проход по ссылке), а вы имели в виду итерации запроса хэша.

Так что все ясно :)

А Вы уверены, что это будет страница с чужого сайта?
Пользователю могут запудрить мозги, подсунув ссылку (или фрейм) с Вашей же штатной страницей.

скрипт, реагирующий на запрос сброса пароля добавляет запрос в таблицу заказов сброса (очевидно INSERT ... ON DUPLICATE KEY UPDATE ) и если строка уже есть - модифицирует время.
Если время должное (или пустое) - выставляет e-mail
Если нет - сообщает "не надо так часто - попробуйте через ... минут".

ну так да, одной дополнительной проверкой меньше :)

да, согласен. но если например оба варианта в плане безопасности были бы равносильными, то тогда, я думаю, это бы сыграло решающую роль

Хм. Но чем спасет кукис, если страница будет не моего сайта?

То есть запрашивать ссылку можно без временных ограничений и пауз, а проходить по ссылке новой ссылке только через какое-то время, я правильно сейчас понял?

а зря, между прочим.
если из-за какой-то кривизны пользователю умудрятся подсунуть фишинг-страницу с кнопкой сброса пароля, то неизвестный перехватчику кукис поможет уберечься.