表題の通りなのですが、登録ユーザーがパスワードを忘れた場合の適切な処理というのは、どのようなものなのでしょうか?
例えば、ログインフォームのあるページで、「パスワードを忘れた方はこちら」みたいなリンクがあり、ユーザーはそのリンクをクリックして、登録時のメールアドレスを入力して送信すると、「メールを送信しました〜!」みたいなメッセージが表示されて、その直後にパスワードの再発行メールが登録アドレスに送信されるみたいな処理の場合なのですが、これって以下の問題がありますか?
フォーム送信後に成功メッセージを表示してしまうと、悪意のあるユーザーに、送信されたメールアドレスが登録されているかどうかを知られてしまう(ユーザーのプライバシーに関する懸念)
=> 単純に「入力されたアドレスにメール送信しました〜!」と、入力アドレスが正しかったかどうかについては言及しなければOKなのか?ただ、この場合、ユーザービリティー悪そうな。
悪意のあるユーザーが第3者のメアドをパスワード再発行フォームに入力して送信すると、該当登録ユーザーにパスワード再発行メールが配信されてしまう
=> パスワードをリセットしてからメール送信をするのではなく、ユーザーのメール内リンクのクリックをもって、パスワード再発行プロセスが始まるようにすればOKなのか?
ベストなやり方以外にも、一般的に合格点以上となる適切なパスワード再発行処理というのは、どういったものなのでしょうか?
参考
テラテイルの場合は、メアド送信後のページで、送信したアドレスにメール来なかったら、入力したアドレスが正しい登録アドレスか再度確認してくれというメッセージが表示されてました。
送られてきたメールには30分後に無効になるパスワード再設定リンクがあり、それをクリックすると、新しいパスワードを入力するテキストボックスがあって、送信するとテラテイルのトップページに遷移で終了(未ログインの場合は遷移先はログインページ)
回答3件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2017/07/16 11:51