@fomiash

Как в форме регистрации не позволять определить, что email существует?

Задача, видимо, логическая. Есть форма регистрации, в ней существуют поля:
1) E-mail*
2) ФИО
2) Пароль*
3) Повтор пароля*
4) Капча*
*- обязательные

При существовании E-mail отображается ошибка "Такой E-mail уже используется на сайте". По ней можно определить, что, собственно, пользователь зарегистрирован на этом сайте, что может быть компроментирующей его информацией или служить для хакинга через социальную инженерию.
Возможный вариант решения:
a) Отображать ту же ошибку, что при неправильно пройденной капче. Минус- если пользователь забыл, что уже регистрировался на этом сайте, то подсказки никакой не дается.
б) Отправить письмо на email с предложением восстановить пароль. Минус - при желании можно заспамить почту. Как вариант - ограничить отправку раз в сутки такого письма на один email. Но отправлять лишние письма не хочется, лучше решить на уровне формы.

Как в данном случае и в каком виде вернуть ответ пользователю?
  • Вопрос задан
  • 63 просмотра
Пригласить эксперта
Ответы на вопрос 2
Protos
@Protos
Начинаю изучать мир, пока это все.
Вариант а)
К примеру facebook делает так:
60b2ff59e809f209050389.png

То есть дурацкая ошибка которая требует чтобы атакующему пришлось написать в техподдержку, а там вы уже по доп вопросам должны понять это реальны владелец указанных данных или злоумышленник. Вряд ли злоумышленник пойдет писать в техподдержку.

Решить просто на уровне формы нельзя, если вы хотите намекнуть реальному владельцу аккаунта, что он уже есть на сайте - вы намекаете атакующему. Полагаю можно сделать доп проверку по IP, геолокации, user-agent того кто пытается проверить почту, если хоть что-то совпало, то слать письмо на почту «возможно вы пытались войти и не смогли, возможно вас пытаются взломать».
Ответ написан
CityCat4
@CityCat4
Если я чешу в затылке - не беда!
Ну, знаете Вы что пользователь aaabbb123 зареген на сайте - много из этого можно вывести? Это срабатывает только в том случае если Вы заранее знаете мыло (а его проверить можно и другими способами - правда тоже без гарантии).
А вот если отображать какую-то левую ошибку или говорить, что капча неверна, когда она верна - верный путь к тому, что юзер решит, что с сайтом что-то не то и пойдет лесом. Сейчас не так уж и много уникальных сервисов, которые могли бы себе позволить вот так вот юзерами раскидываться...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы