パスワードリセット機能の有益なエラーメッセージ?
パスワードリセット機能を実装する場合、ユーザー名が列挙される可能性があると常に信じていたため、ユーザーが見つかったかどうかに関する情報メッセージは通常含めません。したがって、表示する代わりに:
Account with email "[email protected]" not found.
次のようなあいまいなメッセージを表示します。
Please check your email for instructions on how to reset your password.
アカウントが見つかったかどうかに関係なく。
これはやり過ぎですか、それとも良い習慣ですか?
OWASPで推奨 のように、これは現在のベストプラクティスです。ただし、見落とされがちなことの1つは、戻り値が同じであることです。つまり、ページのレイアウトと基になるHTMLコードはそれぞれ同じでなければなりません。ページのソースを開いてコメントを表示できる場合、同じメッセージを提供するだけでは不十分です<!-- Failed password -->または<!-- Unknown email address -->-ライブサイトでこれらを見ました。