未登録のメアドでパスワードリセットしようとしたとき、「このメアドは正しくありません」とエラー表示させることは可能ですか?
パスワードリセット画面(account/login#recover)で、未登録のメアドや誤って入力してしまったメアドでも、
入力して「送信」ボタンを押すと、
「パスワードを更新するためのリンクが記載されたメールを送信しました。」のように、成功したかのうようなメッセージが表示されてしまいます。
(明らかに存在しないアドレスであればエラー表示されたのですが、存在しそうなメアドだったり、存在するが登録したことのないアドレスでテストすると、送信完了メッセージが表示されてしまいます)
ただ、実際に未登録のメアドには何もメールは届かないため、お客様的に混乱しやすいかもと考慮しています。
もしご存知の方がいらっしゃいましたら教えていただけますと幸いです。
どうぞよろしくお願いいたします。
@Sato-A 様
Helium Customer Fieldsを応用することで、
https://apps.shopify.com/customr?locale=ja
メールアドレスの存在確認もできるかもしれません。
ベンダーにお問い合わせいただくのが良いかと思います。
もしくは、
カスタムアプリを開発し、メールアドレスの存在確認を行うAPIを作ることは可能です。
しかし、
メールアドレスが存在するかしないかを明示するのはセキュリティ的にはリスクにもなりえます。
メールアドレスがあってもなくても常に同じメッセージが表示されることは、
そのメールアドレスが登録されているかどうかも確定できない、ということでもあります。
逆に、メールアドレスの有無によってメッセージを変更しますと、
そのメールアドレスが登録されていることが明らかになりますので、
そのメールアドレスに対して、例えば、総当たりでパスワードを試すこともできてしまいます。
(Shopify自体にログイン失敗回数によるセキュリティ機能があったと思うので、
総当たり自体は怖くはないですが、一例として。)
ご参考まで。
(キュー田辺)