DB に存在しない電子メール アドレスを指定しても、パスワードを忘れた場合にエラーがポップアップ表示されない
knowledge-article-header-disclaimer-how-to
knowledge-article-header-disclaimer
legacy-article
learn-legacy-article-disclaimer-text
問題
- 「パスワード再発行」オプションでは、データベースに存在しない電子メール ID を提供しようとしているときに、ユーザーはセキュリティの質問に答えることができます。 ユーザーのメールアドレスが存在しないというエラーは表示されません。 また、この場合、秘密の質問は DB に存在しません。
解決
- これは意図された動作です。特定のメール アドレスが登録されているかどうかを明らかにすることは、実際にはセキュリティ上の脆弱性であるという考えは、セキュリティ コミュニティ内でかなり広く受け入れられています。これは、メール アドレスが有効か無効かを確認すると、特定のユーザー名が有効かどうかなどの情報が悪意のある攻撃者に提供される可能性があるためです。これは、上で説明したユーザー列挙攻撃などの攻撃を防ぐためです。
did-this-article-resolve-your-issue
