とあるウェブサービスのログイン情報を紛失し、パスワードリセットの為の操作を行い、
「入力されたメールアドレスにリセットの為のメールを送信した」
と表示されたものの、待てど暮らせど一向に届かない事がありました。
問い合わせをしてみると、
「そのメールアドレスで登録された情報は存在しないので、そもそもメールは送信されない」
という答えが返ってきました。
同じような事が他のウェブサービスでもありました。
過去に、どこかのセキュアプログラミングに関わる資料で
「照会されたユーザー情報が存在しない事を提示すべきではない」
という事が書かれていた覚えがあります。(うろ覚え)
ユーザーにとっては分かりづらくて不親切だと思うのですが、
セキュリティーを考慮した設計では望ましいことなのでしょうか。
ご意見いただければ幸いです。
回答2件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。