| ■No34245 (いしだ さん) に返信 > 2009/03/24(Tue) 12:05:07 編集(投稿者) > >>「パスワードが間違っています」「ユーザー名が間違っています」というエラー メッセージは、絶対に出してはいけません。ここ1〜2年で、そのようなメッセージを出すサイトが皆無になってきていることに注意して下さい。 >> > 私の作っているアプリでも、上記のようなメッセージを表示してますので調べてみました。 > MSDNやyahoo,@IT,goo等、ログイン失敗すると上のようなメッセージが表示されますね。 > ひょっとして私は、Jittaさんの意図を勘違いしているのでしょうか? >
すみません、ちょっと言葉が足りていませんでした。774RRさんの解説の通りです。 ID が間違っているから「ID が違います」、パスワードが間違っているから「パスワードが違います」は、NG です。どっちが違っていても「パスワードが違います」は、Ok です。 理由は、ID がメール アドレスであることが多いため、生きたアドレスを知らせることになるというのがひとつ。2つの不定文字列を推測するのは困難だけど、1つの不定文字列を推測するのは比較的容易であるということ。
まぁ、メール アドレスは目につくところに出ていることが多いので、意味が薄いっちゃ薄いけど。 2つ目にあげた理由から、ID の代わりに「メール アドレス」と書いているのも NG にしたい。と思っています。 |