Firebase Javascript SDK , предназначенный для аутентификации на стороне клиента (веб-приложения), получает ошибки от своего API в случае неудачной попытки входа. При использовании функции signInWithEmailAndPassword , если пользователь пытается войти с неизвестным адресом электронной почты, SDK получает ошибку auth/user-not-found. Это поведение определено в приведенной выше ссылке.
Разве это не проблема безопасности для решения по аутентификации «один размер подходит всем», такого как Аутентификация Firebase? Злоумышленник может использовать это для идентификации существующих учетных записей (в сценарии, в котором отсутствует список учетных записей / профилей c), что позволяет им более эффективно пытаться взломать учетные записи.
A контраргумент состоит в том, что регистр с функцией электронной почты должен будет сообщать пользователям, если учетная запись с таким адресом электронной почты уже существует, и злоумышленник может вместо этого использовать эту функцию.
В моем сценарии мы сохраним все личные имена пользователей / электронные письма.
Соответствующие вопросы SE о проблеме безопасности в более широком контексте:
https://security.stackexchange.com/questions/158075/is-it-unsafe-to-show-message-that-username-account-does-not-exist-at-login
Не является плохая практика - сообщать пользователю, что имя пользователя не существует, например http://en.wikipedia.org