En muchas aplicaciones web, se requiere que el correo electrónico sea un campo único, y los usuarios no pueden registrar una cuenta si su correo electrónico ya existe en la base de datos.
Al realizar la validación en el formulario de registro, es probable que compruebe si se ha recibido un correo electrónico y le informa al usuario si lo ha hecho ya que puede elegir uno diferente o intentar restablecer su contraseña.
Sin embargo, si está proporcionando esta información, parece que los usuarios malintencionados podrían probar si los usuarios existen en la base de datos. Alguien podría probar de forma plausible su sitio con datos filtrados de hacks de renombre, y si los usuarios reutilizan sus contraseñas entre sitios, su sitio es potencialmente vulnerable.
La solución a esto podría ser simplemente dar más retroalimentación genérica sobre lo que salió mal sin mencionar específicamente el correo electrónico, aunque eso podría ser frustrante para el usuario promedio que intenta registrarse. Y si su formulario de registro simplemente requiere un correo electrónico y una contraseña, es bastante obvio que si se produce algún error es probable que el correo electrónico ya exista en la base de datos.
¿Cuál es la mejor manera desde una perspectiva de seguridad para gestionar informar a un usuario de que ya se ha recibido un correo electrónico en el registro?