ji-eunsoo

@refine-kenshi 仕様から再度検討いたしますので、Closeします。

@kurozumi ありがとうございます！ 不要な修正が混ざっているので、直していただいても良いでしょうか？

以下、検討してみました。 ### A案：全体の処理時間を決め、レスポンスを同じ時間内に処理する（レスポンスの同時性確保） - パスワードリセット1件あたりの処理時間がかかる可能性があり、レスポンスの時間がかかるようになる - DoS攻撃の影響が出やすい可能性があるため、見送り ### B案：登録なしのメールアドレスの場合、ダミーのメールアドレスに実際にメール送信を行う - 攻撃が来たことがわかるメリットがあるが、ダミーのメールアドレスのメールボックスが溢れる可能性もある - 特定のアカウントに存在しないメールを送ることは避けたいため、見送り ### C案：メッセージキューを使用して非同期でメールを送信する - 共有レンタルサーバーでの稼動を想定しているため、メッセージキューの利用が難しい - 一部の共有レンタルサーバーでは、WebサーバーからPHPのCLI版のコマンドを呼び出せない場合があるため、見送り

4.2からは新規会員登録画面・パスワード再発行画面にスロットリングを実装しており、リスクを低減できている状態となります。 また、会員の登録有無が特定される問題は、新規会員登録画面においても同様の事象があります。 こちらは、他のサービスとも比較した結果、仕様として情報を公開しております。 https://github.com/EC-CUBE/ec-cube/issues/5279 ことから、本件は脆弱性としては扱わず、不具合として今後のバージョンで修正を実施できればと考えております。 是非、修正案についてご意見ください！

@mipsparc ありがとうございます、おっしゃるとおりかと思います。 recapthaはプラグインとしていくつかリリースされており、そちらと合わせて対策されている方もいらっしゃいますね。

互換性がない可能性があるので、動作確認してからマージします。

＠tao-s ありがとうございます。こちらのUIで、仕様検討致します。

@okazy ありがとうございます。Mermaid形式に書き換えた時に修正したいと思います。

@okazy ありがとうございます。追加します。 ＠皆様 PRいただけると嬉しいです。

@tao-s ありがとうございます。こちらはSymfonyのドキュメントを参照すればいいかなと思いますのでCloseします