No, questo è un vulnerabilità di enumerazione degli utenti .
As an attacker if I can use your login or forgotten password page to narrow my list from 10000 targets to 1000 targets, I will.
La migliore implementazione per risolvere questo problema è che sia la registrazione che i moduli password dimenticati sono un processo a più fasi (esattamente lo stesso back-end / processo dopo il modulo iniziale).
Il modulo inizia con un singolo campo che richiede indirizzo email . L'utente inserisce [email protected]
e quindi fa clic su Invia. Quindi vengono visualizzati la stessa pagina chiedendo loro di controllare il proprio account di posta elettronica.
Se l'utente è già registrato, riceve un'email contenente un link di reimpostazione della password con un token casuale che scade tra qualche ora.
Se l'utente non è registrato, riceve un'email contenente un link di registrazione con un token casuale in modo che possa continuare la procedura di registrazione. Come bonus, hai già convalidato il loro indirizzo email per quando in seguito dimenticheranno la loro password!
Nessuno che non abbia accesso all'account email [email protected]
può determinare se l'utente è registrato o meno.
Guarda l'esempio sul post sul blog di Troy Hunt sulle reimpostazioni della password e la vulnerabilità di enumerazione del nome utente su alotporn.com
per un buon esempio di quanto sia importante soddisfare le aspettative di privacy dell'utente.