我一直认为,每当您提供登录界面并且用户未提供有效凭据时,您永远不会确认哪个用户名和密码不正确,因为这可能有助于黑客攻击?
wikipedia.org似乎违反了这种做法标准;
问问题
573 次
1 回答
3
答案是针对具体情况的。
一方面,您拥有公共用户名,例如托管论坛(例如 StackOverflow)的网站,以及在您的示例中为 Wikipedia 的网站。从这个意义上说,术语“公共”用于表示它被用作所有人都可以看到的公共标识符。在这些情况下,掩盖登录表单中存在或不存在用户名的事实是没有任何意义的 - 此信息是可公开访问的。无论是查看特定用户信息的页面,还是扫描网站上的每个页面,您都可以毫不费力地列举出完整的用户列表(至少是那些做出贡献的用户)。
另一方面,您有私人用户名,例如银行应用程序中使用的用户名。由于银行网站不会(或至少不应该)向任何地方的任何人显示其网站上的实际用户名 - 用户名纯粹用作网站标识符和身份验证工具。在这种情况下,发出警告,例如“您使用的用户名/密码组合无效。 ”与“您输入的用户名不存在。 ”相对,是很有意义的。
于 2012-11-12T16:55:31.437 回答