In che modo il messaggio di errore "Nome utente o password errati" impedisce l'enumerazione degli utenti?

3

Vedo che quasi tutti i siti web e i servizi non ti dicono se hai sbagliato nome utente o password ma non ti dirò quale.

La ragione per cui vedo sempre questo è che consente a un utente malintenzionato di capire quali utenti sono nel sistema, ma per quasi tutti i siti Web posso già risolvere questo problema visitando il profilo di quell'utente che mi darà un 404 o mostrare la pagina utente per quell'utente o posso provare a registrarmi usando una e-mail che mi dirà se un indirizzo email / nome utente è già stato preso spesso anche prima di inviare.

Perché questi servizi che consentono una facile ricerca di ID utente cercano ancora di nascondere il fatto che il nome utente esiste quando si effettua l'accesso? Dal mio punto di vista sembra quasi che questa sia una situazione simile a Quali motivi tecnici ci sono per avere una lunghezza massima delle password bassa? Dove in un caso qualcosa è stato utile e poi tutti lo hanno copiato al punto in cui è stato utilizzato al di fuori della sua situazione utile.

    
posta Qwertie 15.01.2018 - 02:54
fonte

1 risposta

2

Ovviamente, se ci sono altre tecniche per enumerare gli utenti, avere un singolo messaggio è di scarsa utilità. Ma molti forum ti consentono solo di vedere i profili utente una volta effettuato l'accesso e, se il forum è solo su invito, non potresti utilizzarlo. Molto probabilmente, stanno progettando il sistema di login per ogni caso / combinazione di sistema di accesso.

Ovviamente, nelle applicazioni di sicurezza più elevata (bancarie, ecc.) vengono adottate misure per garantire che non vi sia modo di enumerare tutti gli utenti sul sito, sia attraverso il modulo di accesso che attraverso altri meccanismi sul sito. p>     

risposta data 15.01.2018 - 04:00
fonte

Leggi altre domande sui tag