Il completamento automatico="disattivato" è compatibile con tutti i browser moderni?

3

Ci sono molte risposte sull'argomento (incluse alcune su StackOverflow), ma nessuna di esse ha risposte recenti o aggiornate: non riesco a trovare alcuna documentazione che indichi quali browser supportino il completamento automatico="off". Qualcuno può indicarmi la giusta direzione di un grafico degli attributi del modulo e della compatibilità del browser?

La password e la memorizzazione nella cache del nome utente nel browser consentono a un utente malintenzionato, se si utilizza un attacco CSRF sofisticato contro l'archiviazione protetta del browser, o se l'accesso fisico alla macchina delle vittime ruba le credenziali delle vittime.

In qualità di consulente di sicurezza che vuole offrire le migliori pratiche e le soluzioni più sicure ai suoi clienti, voglio essere certo che raccomandare AutoComplete="off" sia la soluzione giusta per ordinare al browser di non memorizzare nella cache le credenziali dell'utente. Per questo ho bisogno di sapere se ci sono dei browser che non applicano questa regola. Se tale caso esiste, devo raccomandare un'altra soluzione. I pentestori tra noi potrebbero desiderare che queste informazioni siano rivolte a particolari attacchi R & D contro tali browser, e gli utenti potrebbero essere interessati a tali informazioni per sapere quali browser non usare.

    
posta Boaz Tirosh 29.10.2012 - 12:56
fonte

1 risposta

2

Esatto duplicato della domanda SO (che è più rilevante di qui): link

Fondamentalmente, la maggior parte dei browser moderni tenta di rispettarla, anche se sarebbe banale scrivere un'estensione javascript per ignorarla / disabilitarla. Ad esempio, con la libreria jQuery potrebbero fare qualcosa di simile aggiungere il seguente javascript a ogni pagina:

$(document).ready(function() {
 $(":input").attr('autocomplete', 'on');
}

che sostituisce le impostazioni di completamento automatico del sito web. Fondamentalmente, la soluzione migliore è impostare autocomplete='off' e inoltre impostare un criterio per dire agli utenti di non fare in modo che il browser ricordi la password per questo sito Web.

    
risposta data 30.10.2012 - 11:59
fonte

Leggi altre domande sui tag