Quindi quando clicchi il link per la password dimenticata e inserisci il tuo indirizzo email, sembra che i siti (e altri programmatori con cui ho parlato) siano uno di questi due modi di pensare;
- Notifica all'utente se l'indirizzo e-mail corrisponde o meno a quello nel database e in base a ciò si consiglia di impostare o meno l'indirizzo e-mail di reimpostazione della password;
- Rispondere immediatamente con una "Email inviata" o "Se questo utente esiste, ti abbiamo inviato una email di reimpostazione della password" indipendentemente dal fatto che o una corrispondenza si sia verificata con conseguente invio di un'email. Questo è fatto (apparentemente) per ragioni di sicurezza.
Ho implementato il secondo io stesso e in genere ho riscontrato fastidio con gli utenti a causa di;
- Se un utente digita il proprio indirizzo email, gli viene detto che viene inviata un'email, ma non ne riceverà mai uno.
- Se hanno inserito un indirizzo email diverso da quello con cui si sono registrati, di nuovo non riceveranno un'email.
- Una combinazione di quanto sopra può comportare più tentativi, ma nessuna ricezione di un'email di reimpostazione della password, con conseguente rinuncia.
Infine, dopo aver esaminato siti Web popolari che utilizzano il secondo scenario, ho scoperto che tentando di registrare un account con questi siti in cui l'indirizzo email inserito corrisponde a un account esistente, un "questo indirizzo email è già in uso, o "non disponibile" viene comunque visualizzato un messaggio.
In quanto tali, quali sono i vantaggi che non rivelano se una e-mail di reimpostazione della password ha trovato un account?