Как в форме регистрации не позволять определить, что email существует?

Question

[fomiash]

Задача, видимо, логическая. Есть форма регистрации, в ней существуют поля:
1) E-mail*
2) ФИО
2) Пароль*
3) Повтор пароля*
4) Капча*
*- обязательные

При существовании E-mail отображается ошибка "Такой E-mail уже используется на сайте". По ней можно определить, что, собственно, пользователь зарегистрирован на этом сайте, что может быть компроментирующей его информацией или служить для хакинга через социальную инженерию.
Возможный вариант решения:
a) Отображать ту же ошибку, что при неправильно пройденной капче. Минус- если пользователь забыл, что уже регистрировался на этом сайте, то подсказки никакой не дается.
б) Отправить письмо на email с предложением восстановить пароль. Минус - при желании можно заспамить почту. Как вариант - ограничить отправку раз в сутки такого письма на один email. Но отправлять лишние письма не хочется, лучше решить на уровне формы.

Как в данном случае и в каком виде вернуть ответ пользователю?

Comments

[Дядька Серёжа]

Согласно https://owasp.org/www-project-web-security-testing... возможен только вариант а)

[Дядька Серёжа]

Решили вопрос?

[fomiash]

Дядька Серёжа, да, решил написать "С таким E-mail уже производилась попытка регистрации", учитывая, что нужно подтверждать регистрацию по Е-майл, далее рекомендовалось восстановить пароль или подтвердить Е-майл (проверить почту).

Answer 1

[Дядька Серёжа]

Вариант а)
К примеру facebook делает так:


То есть дурацкая ошибка которая требует чтобы атакующему пришлось написать в техподдержку, а там вы уже по доп вопросам должны понять это реальны владелец указанных данных или злоумышленник. Вряд ли злоумышленник пойдет писать в техподдержку.

Решить просто на уровне формы нельзя, если вы хотите намекнуть реальному владельцу аккаунта, что он уже есть на сайте - вы намекаете атакующему. Полагаю можно сделать доп проверку по IP, геолокации, user-agent того кто пытается проверить почту, если хоть что-то совпало, то слать письмо на почту «возможно вы пытались войти и не смогли, возможно вас пытаются взломать».

Comments

[Дядька Серёжа]

Vk делает так:

Answer 2

[CityCat4]

Ну, знаете Вы что пользователь aaabbb123 зареген на сайте - много из этого можно вывести? Это срабатывает только в том случае если Вы заранее знаете мыло (а его проверить можно и другими способами - правда тоже без гарантии).
А вот если отображать какую-то левую ошибку или говорить, что капча неверна, когда она верна - верный путь к тому, что юзер решит, что с сайтом что-то не то и пойдет лесом. Сейчас не так уж и много уникальных сервисов, которые могли бы себе позволить вот так вот юзерами раскидываться...

Comments

[fomiash]

Ну, например, сотрудник может узнать по мылу своего босса, что тот имеет аккаунт на компроментирующем его сайте. Как пример. Или мошенники могут определить, что такой пользователь зарегистрирован на определенных сайтах, чтобы понять, стоит ли предпринимать дальнейшие действия и где именно. Это может быть также сайт госучреждения, где такое сокрытие данных прописано в условиях. И тд.

[CityCat4]

fomiash, что можно узнать по мылу aaabbb123@yandex.ru? ну или даже aaabbbccc@soderzhanok.net? А на сайтах госучреждений обычно регистрация немного по другому.
В общем, не надо искать черную кошку в темной комнате тогда, когда ее там нет

[fomiash]

CityCat4, не могу принять ваш ответ, так как основная проблема - идентификация регистрации определенного email (как я указал в комментарии выше), пусть даже aaabbb123@yandex.ru, владелец которого известен, а не перебор случайных email неизвестных лиц. Отрицание наличия проблемы не является решением.