Boa tarde,
Estou desenvolvendo um website com asp.net MVC e me surgiu uma dúvida…
É correto informar os status de determinado E-Mail quando a pessoa solicita a redefinição de senha, dizendo “este E-Mail não possui cadastro em nosso sistema” quando ela informar um E-Mail que não tem cadastro?
Penso que isso abre “brechas” no sistema, poderiam me confirmar isso ?
Essas questões dependem do seu modelo de negocio, você pode contornar esse problema retornando uma mensagem padrão, como por exemplo:
Foi enviado um e-mail de recuperação para o endereço (e-mail que o cliente informou), caso não tenha recebido verifique sua caixa de spam ou se o endereço de e-mail informado está correto!
Então na sua aplicação você pode validar se o e-mail existe na sua base de dados e caso não exista não envie nada.