Messaggi di errore informativi nella funzionalità di reimpostazione della password?

4

Quando sto implementando la funzionalità di reimpostazione della password di solito non includo messaggi informativi sul fatto che sia stato trovato un utente, perché ho sempre creduto che possa portare all'enumerazione del nome utente. Quindi, invece di mostrare:

Account with email "[email protected]" not found.

mostra un messaggio ambiguo come:

Please check your email for instructions on how to reset your password.

indipendentemente dal fatto che un account sia stato trovato o meno.

Questo è eccessivo o una buona pratica?

    
posta Abe Miessler 09.03.2016 - 17:29
fonte

1 risposta

6

Questa è la migliore prassi corrente, come raccomandato da OWASP . Una cosa spesso trascurata è che i valori di ritorno dovrebbero essere identici: il layout e il codice HTML sottostante per una pagina dovrebbero essere gli stessi per ciascuno. Non è sufficiente solo fornire lo stesso messaggio se puoi aprire il sorgente della pagina e vedere un commento <!-- Failed password --> o <!-- Unknown email address --> - li ho visti nei siti live.

    
risposta data 09.03.2016 - 17:34
fonte

Leggi altre domande sui tag