In un modulo di registrazione all'utente viene richiesto il suo indirizzo e-mail. L'indirizzo e-mail verrà convalidato per il formato corretto (ad esempio almeno contiene @ ) e sto considerando di verificare se è già registrato. Ciò costituirebbe un rischio per la sicurezza in quanto consentirebbe agli aggressori di verificare gli indirizzi e-mail degli utenti con account? Se sì, come può essere mitigata la minaccia?
Per evitare questo tipo di perdita, puoi anche iniziare il processo di registrazione chiedendo l'e-mail. Dopo averlo inserito, si invierà un'e-mail con un collegamento in modo che l'utente possa continuare con il processo di registrazione. Se l'e-mail fosse già stata registrata, si invierà una e-mail che lo dirà.
In questo modo, solo il proprietario dell'e-mail potrebbe registrarsi.
Inconvenienti :
L'utilizzo di un nome utente anziché di un indirizzo e-mail è un metodo o utilizzare una combinazione di entrambi per questioni di sicurezza come il ripristino della password. Questo rende la scoperta di un particolare indirizzo e-mail meno utile se sono necessari sia un nome utente che una e-mail.
Non è un grosso problema perdere il fatto che nella maggior parte dei casi esiste un particolare indirizzo e-mail, a meno che la privacy non sia una grande preoccupazione, nel qual caso si potrebbe preferire l'uso esclusivo dei nomi utente per l'unicità. In alternativa, puoi consentire che l'account venga creato, ma invia un messaggio di posta elettronica all'indirizzo specificato in cui è indicato che esiste già un account.
Ho visto più siti modificare la risposta agli account che sono stati creati (notifica), a qualcosa del tipo: "Se l'account esiste, verrà inviata un'e-mail" contro: " non esiste un account di questo tipo "(che consente a qualcuno che si registra di sapere se esiste già un account) Se stai cercando di fermare" l'enumerazione degli account ", dai uno sguardo a OWASP:" Testing per l'enumerazione degli utenti e l'account utente ipotizzabile "
Leggi altre domande sui tag validation email