По поводу опроса выше (которого уже нет).
Я не уверен в состоятельности данного бага, так как не могу найти достаточно адекватный источник, который бы на сто процентов утверждал, что мы не должны сообщать пользователю при регистрации, что такой емейл уже существует.
Для аутентификации есть подобные правила и они подробно расписаны в OWASP.
Поэтому думаю, что стоит удалить опрос выше и применять такого рода требования именно к аутентификации.
Если кто-то пропустил опрос, то в этом нет ничего страшного.
Сами требования к аутентификации можно прочитать здесь https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html
Я не уверен в состоятельности данного бага, так как не могу найти достаточно адекватный источник, который бы на сто процентов утверждал, что мы не должны сообщать пользователю при регистрации, что такой емейл уже существует.
Для аутентификации есть подобные правила и они подробно расписаны в OWASP.
Поэтому думаю, что стоит удалить опрос выше и применять такого рода требования именно к аутентификации.
Если кто-то пропустил опрос, то в этом нет ничего страшного.
Сами требования к аутентификации можно прочитать здесь https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html