Dire che ho un sito che ha un processo di registrazione dell'utente in cui, quando un utente immette un indirizzo e-mail già in uso, viene visualizzato un messaggio di errore che lo informa. Questo sembra un modo semplice per un utente malintenzionato di enumerare gli utenti.
Sarebbe sufficiente aggiungere CAPTCHA al processo di registrazione per impedire la numerazione degli utenti?
Sì! Affinché l'enumerazione degli utenti in un modulo di registrazione dell'account sia utile, un utente malintenzionato dovrà eseguire migliaia di ipotesi automatizzate. Questa vulnerabilità non riguarda i messaggi di errore informativi, infatti anche se si rimuove il messaggio di errore non è ancora possibile lasciare che due utenti occupino lo stesso nome utente. Con questo solo errore generale, un utente malintenzionato può determinare che un nome utente è in uso.
Leggi altre domande sui tag web-application user-names user-enumeration