Stiamo sviluppando un'applicazione web in cui gli utenti possono registrarsi utilizzando il loro indirizzo e-mail. Durante il processo di login, avevamo un messaggio di errore "email non registrata". Poiché è necessario mantenere la privacy dei nostri utenti, abbiamo modificato questo messaggio in "nome utente o password non validi".
Esistono altri modi in cui un utente malintenzionato può identificare se un'e-mail è registrata o meno nel nostro sito?
Questo è un buon cambiamento che hai fatto per aumentare la perdita di privacy nella tua app. Da un punto di attacco, esiste un altro modo per identificare l'e-mail registrata nel tuo sito o meno. Ma questo dipende da come hai implementato il tuo processo di autenticazione, le prestazioni dei tuoi server web ecc.
Normalmente memorizziamo la password dell'utente come hash nel DB insieme al valore salt (spero che tu abbia fatto lo stesso?). Quindi, se il processo di login identifica un messaggio di posta elettronica esistente nel tuo DB, allora calcola l'hash della password specificata e prova a confrontare gli hash. Calcolare l'hash della password fornita richiede un po 'di tempo. Quindi, cosa può fare un aggressore, confrontare i tempi di risposta dalla tua pagina di accesso e identificare le email che richiedono più tempo per rispondere.
Come rimedio a questo tipo di attacco. Devi controllare manualmente il tempo di risposta nella tua pagina di accesso su una costante.
Leggi altre domande sui tag authentication web-application