1
在我的申請,我有標準的電子郵件身份驗證,以及兩個OAuth的服務(比如谷歌和Facebook)通知用戶帳戶存在
如果用戶與Facebook簽約,但隨後他們試圖通過登錄定期的電子郵件認證,我應該告訴他們使用Facebook嗎?起初,我認爲這很直截了當,但意識到這可能有潛在的安全後果。
你們都在想什麼?
(同樣,這是細問堆棧溢出,或者我應該重新發布軟件工程?)
Q
通知用戶帳戶存在
A
回答
1
有機會的話,用戶已禁用的Facebook(或其他一些服務的)選項來看待通過他/她的電子郵件發送。因此,提供建議通過Facebook登錄的消息可能不是一個好的解決方案,因爲攻擊者可以獲取用戶標記爲私有的信息。
我會做的是,我會將用戶不存在時顯示的消息更改爲「無效用戶(如果您已經使用其他服務(例如Facebook)」註冊),請登錄,在使用該服務)「。我會將此消息提供給不存在的用戶以及使用某種服務註冊的用戶。這樣,攻擊者就無法區分未註冊的用戶和使用某種服務註冊的用戶,而合法用戶正在獲知可能出錯的提示。我相信會出現一些可用性問題,但這樣,用戶的隱私得到更好的尊重。
相關問題
- 1. 重新通知Drupal帳戶的用戶
- 2. c#:如何知道'用戶帳戶'是否存在於Windows?
- 3. eth_SendTransaction - 未知帳戶
- 4. 通知用戶需要更新的帳戶的最佳方式?
- 5. 基於帳戶註冊推送通知
- 6. 用戶通知
- 7. 僅通過帳戶名稱獲取Windows用戶帳戶SID
- 8. 通過使用用戶帳戶
- 9. 生成用戶帳戶存款地址
- 10. 用戶用戶帳戶
- 11. DocuSign:帳戶信息api和webhook通知中的帳戶ID格式不同?
- 12. 如何更改從未在'用戶帳戶控制設置'中通知?
- 13. wcf用戶帳戶
- 14. rails:用戶帳戶
- 15. PERL - AD帳戶添加 - 檢查帳戶是否存在
- 16. 用戶到用戶推送通知
- 17. 如何使用推送通知從Gmail帳戶獲取新郵件通知
- 18. 在流星帳戶中迭代用戶帳戶UI
- 19. 將通知發送到iOS和Android中的特定用戶帳戶?
- 20. 將用戶帳戶鏈接到設備令牌以進行推送通知
- 21. 在WooCommerce新帳戶電子郵件通知中顯示客戶電話
- 22. 如何在「添加帳戶」活動完成時得到通知
- 23. 如何知道客戶端是否存在XMPP服務器中的帳戶?
- 24. Amazon S3中的子帳戶(如Nirvanix)(子帳戶,客戶帳戶)
- 25. 我如何知道SPList是使用系統帳戶存檔的?
- 26. 如何在當前帳戶中顯示通知,如果此帳戶在另一臺計算機上登錄
- 27. xmpppy創建用戶帳戶
- 28. 檢索用戶帳戶
- 29. 網站的用戶帳戶
- 30. PHP和MySQL用戶帳戶