Stiamo impostando un servizio sul nostro sito web che consente agli utenti di chiedere un nuovo link di attivazione. Per chiedere un nuovo link di attivazione, l'utente deve inviare il proprio indirizzo email associato al proprio account.
Possiamo avere 2 uscite, a seconda di quale dobbiamo dare un messaggio di conferma.
- L'utente è registrato ma l'account non è attivo. Il messaggio di conferma sarà
The activation link has been sent.
- L'utente è registrato e l'account è già attivo. Il messaggio di conferma sarà
The account is already active. If you have forgotten your password, please click here.
Abbiamo dei dubbi sul secondo messaggio di conferma. Indica troppo sul fatto che l'account esiste già. Esistono best practice o suggerimenti sulla sicurezza relativi a questi tipi di messaggi?
O hai qualche suggerimento?
Modifica 2017.03.17
Abbiamo implementato una nuova soluzione. Indipendentemente dall'output, verrà visualizzato il seguente messaggio:
If you are registered, you will soon receive an email.
Tuttavia, l'email inviata dipenderà dall'output:
- Se l'account non è attivo, invieremo il link di attivazione.
- Se l'account è già attivo, invieremo un'email di conferma che l'account è già attivo e che spiega la procedura "password dimenticata".
Questa soluzione sembra essere la più appropriata nella nostra situazione. Se hai altri suggerimenti, per favore invia.