Empêcher l'énumération possible des utilisateurs

[mathieuripert]

Contexte / Problème

Il es possible dans plusieurs formulaires de savoir qui est inscrit ou pas sur covidliste en fonction des messages d'erreur (cet adresse email n'est pas trouvée ou bien cet email existe déjà)

Proposition

• Lister les endroits où c'est le cas
• Afficher un message de réponse générique

Priorité (Requis)

Ajouter un label Priorité

• P2: Moyennement urgent, à résoudre en 4 jours

[tildedash]

Bonjour,
en terme de sécurité, est-ce qu'il faudrait également ajouter du throttling avec Rack-Attack sur les endpoints concernés ?

[mininao]

est-ce qu'il faudrait également ajouter du throttling avec Rack-Attack sur les endpoints concernés ?

Je crois qu'on a déjà Rack attack de setup pour ça @tildedash 🙂, non ?

[Intrepidd]

À priori c'est faisable facilement avec le devise paranoid mode : https://github.com/heartcombo/devise/wiki/How-To:-Using-paranoid-mode,-avoid-user-enumeration-on-registerable

Ca dépend à quel point on a customizé tout ca. Je veux bien m'en charger.