ユーザーのプライバシーを保護しながら一意の電子メールアドレスを要求していますか？

Question

私は自分のウェブサイトに一意の電子メールアドレスを要求するように設定しましたが（二人のユーザーは同じ電子メールアドレスを使用することはできません）、その人が自分のウェブサイトに登録しているかどうかを誰かがチェックできるようになりました。このユーザーは自分が試したかったメールアドレスを知っておく必要があると考えていましたが、一部のユーザー（たとえば、ユーザーが自分のウェブサイトに登録されているかどうかを確認したい競合者）にとっては有益な情報でした。

これを止める方法はありますか、それとも可能性として受け入れる必要がありますか？

編集：明らかに、これはアカウントを作成することです。悪いログインに対して一般的な「無効なログイン」を提供しても、どのユーザー名や電子メールアドレスが有効であるかを明らかにせずに一意の電子メールアドレスまたはユーザー名を要求するにはどうすればよいでしょうか？

多くの追加編集：アカウント作成後にのメールアドレスをに変更すると、ここでは考慮されなかったことが一意のメールアドレスの要件を維持していました。ここで、私が「パスワードを忘れた」メールを送ったという私の受け入れた解決策は、ほとんど同様に機能しません。代わりに、唯一のオプションは、自動的な試行を制限するために一定時間内に電子メールアドレスを変更できる回数にキャプチャまたは制限を使用することです。

Answer 1

誰かが既存のアカウントで登録しようとした場合—「新しいアカウント」のメールの代わりに「パスワードを変更する」メールを送信します（理由を説明してください）。

HTTP応答は単純なままです。指定したアドレスに確認メールが送信されました。続行するには、その手順に従ってください。

Answer 2

はい、それは起こり得るし、チェック/登録の試行回数を制限すること以外は実際には何もできません。それは少なくともあなたの競技者による自動チェックを妨げるでしょう。もちろん、もし彼のガールフレンドがそこに登録されているかどうかを確認する男がいるなら、彼はその可能性を持っています。

Answer 3

誰かが自分のパスワードを忘れてしまった場合は、自分のメールアドレスを入力するように求められます。一致した場合にパスワードを送信しますか？

これは、ユーザーがメールアドレスを登録したときに質問/回答に挑戦するようにすることができます。あなたのユーザーにとって大きな苦痛ですが、セキュリティが懸念される場合は、セキュリティが必要な場合があります。

登録フォームも可能です。この場合、ユーザーは電子メールアドレスを入力して、既に「取得済み」かどうかを確認できます。

あなたの懸念にお答えするには、すでに登録されていても、すべての登録を喜んで承諾し、確認メールを送信する必要があります。このようにして、ユーザーは最初に電子メールアドレスを登録したかどうかを知ることができません。

最後に、間違ったユーザー名/パスワードが与えられた場合は、ユーザーに悪いことを知らせないでください。

サイトのメンバーシップが慎重でなければ、恐ろしいセキュリティリスクにはならないと考えられます。この場合、説明されているパターンの一部を使用できます。

Answer 4

これはうまくいくかどうかわかりませんが、「パスワードが間違っています」と言う代わりに「usernameまたはパスワードが間違っています」というログインページのようなことをしないでください。たぶん「あなたのメールアドレスは無効です」と言ってください。これはおそらく使いやすさのエラーですが、あなたが言うように人々のことを心配しているのであれば、その人と一緒に生活しなければならないかもしれません。