我正在设计一个基本网站,其访问受到经典登录和密码系统的限制。
我无法决定当用户输入不存在的登录名以及输入现有帐户的无效密码时是否应该显示不同的消息。
我的第一直觉是不要显示不同的消息,因为这会给潜在的攻击者暗示哪里出了问题,但这样做有时会让用户更难以理解他的错误(也许他只是错误地输入了他的帐户登录信息和适当的信息)错误信息会更好)。另一方面,我经常听说帐户登录不是秘密(密码显然也是如此),因此提供有关帐户的信息不应降低安全级别。
你们有什么好的做法/理由我应该遵循吗?
谢谢。
不要区分这些信息 - 这些信息可能会被恶意方使用。
如果他们知道用户名是正确的,那么他们就已经掌握了您泄露的有价值的信息。
这对您的用户来说是一个小小的不便,为什么登录失败,毕竟他们仍然需要输入用户名和密码。
| 归档时间: |
|
| 查看次数: |
1037 次 |
| 最近记录: |