Nello scambio di stack di Code Review, in risposta al codice che informa l'utente quando il tentativo di accesso non è riuscito a causa di troppi tentativi di accesso da un IP, mi è stato detto
"Assolutamente non inviare messaggi all'utente finale dicendo loro perché l'accesso non è riuscito. Stai fornendo a un potenziale attaccante informazioni critiche per aiutarlo ad attaccare la tua applicazione. Qui fornisci a un attaccante informazioni molto precise per aggirare la tua restrizione IP. "
https://codereview.stackexchange.com/a/164608/93616
Sto praticando una cattiva sicurezza? Devo spiegare in termini più vaghi come "Troppi tentativi di accesso" o "Non è stato possibile accedere"?
Aggiornamento : in caso di ambiguità, attualmente i troppi La logica dei tentativi e il messaggio non si preoccupano se i tentativi hanno avuto successo o meno.