Eventuali problemi di sicurezza che mostrano se un determinato indirizzo e-mail è stato trovato in un database o meno quando un utente finale richiede una reimpostazione della password su una determinata homepage o se la homepage restituisce solo qualche tipo di errore generico o forse semplicemente ignora l'errore e affermare che è stata inviata una mail?
Grazie
Raccomando di utilizzare un messaggio generico che non rivela l'esistenza o la non esistenza degli indirizzi.
Il problema principale sarebbe che un utente malintenzionato potrebbe scoprire se una persona specifica sta usando il tuo sito web. A seconda del tipo di sito web, questo può essere un problema piuttosto importante (vedi ad esempio Ashley Madison). Anche per i siti non sensibili le informazioni potrebbero essere interessanti per gli aggressori (ad esempio per trovare obiettivi per gli attacchi di phishing).
Nota che se si impedisce la divulgazione al momento del ripristino, è necessario prevenirlo anche al momento della registrazione. Qui, può effettivamente diventare un problema di usabilità, quindi è necessario ponderare vantaggi e svantaggi con attenzione.
Sì.
Questo espone se esiste un account per quell'indirizzo email. Un utente malintenzionato potrebbe sapere che è un account valido.
Questa è davvero una usabilità rispetto alla domanda di sicurezza.
Vuoi che il tuo sito ingannino gli utenti se un account non esiste e non mollare informazioni su quali e-mail hanno account? Quindi richiedi che sia stata inviata una mail.
O vuoi scoprire se un account esiste o meno e dare un messaggio più significativo agli utenti? Quindi comunica agli utenti che non si sono ancora registrati con il servizio.
Devi decidere cosa è più importante, l'usabilità o la sicurezza.
Leggi altre domande sui tag email web-application password-reset