Cualquier problema de seguridad que muestre si una determinada dirección de correo electrónico se encontró en una base de datos o no cuando un usuario final solicita un restablecimiento de contraseña en una determinada página de inicio o si la página de inicio simplemente devuelve algún tipo de error genérico o simplemente ignora el error y reclamar que un correo fue enviado?
Gracias
Recomendaría utilizar un mensaje genérico que no revele la existencia o la inexistencia de direcciones.
El principal problema sería que un atacante podría descubrir si una persona específica está utilizando su sitio web. Dependiendo del tipo de sitio web, puede ser un tema bastante importante (ver, por ejemplo, ashley madison). Sin embargo, incluso para sitios web no sensibles, la información puede ser interesante para los atacantes (por ejemplo, para encontrar objetivos para ataques de phishing).
Sin embargo, tenga en cuenta que si evita la divulgación al reiniciar, también debe evitarlo al registrarse. Aquí, realmente puede convertirse en un problema de usabilidad, por lo que debe sopesar las ventajas y desventajas con cuidado.
Sí.
Esto expone si existe una cuenta para esa dirección de correo electrónico. Un atacante sabría que es una cuenta válida.
Esta es realmente una pregunta de usabilidad contra seguridad.
¿Desea que su sitio engañe a los usuarios si una cuenta no existe y no da información sobre qué correos electrónicos tienen cuentas? Luego reclama que se envió un correo.
¿O quiere filtrar si una cuenta existe o no y dar un mensaje más significativo a los usuarios? Luego diga a los usuarios que todavía no se han registrado en el servicio.
Debe decidir qué es más importante, la facilidad de uso o la seguridad.
Lea otras preguntas en las etiquetas web-application email password-reset