Il completamento automatico="off" è errato per i campi di input del nome utente?

2

Pertanto, sembra che il consenso corrente sia che autocomplete="off" non è valido per i campi di immissione della password:

Ma questo include il campo del nome utente? Mi sembra come se fossero una coppia.

Per chiarire, ti sto chiedendo se autocomplete="off" è nocivo per i campi di inserimento del nome utente?

    
posta Sammi 12.09.2016 - 19:02
fonte

1 risposta

10

l'opzione di completamento automatico è riservata alle informazioni sensibili, ad esempio i numeri delle carte di credito. L'eccezione è il tipo di input password , perché i browser moderni non memorizzano input per quel tipo e disabilitano i messaggi di autocompletamento con i gestori di password, riducendo così la sicurezza.

I nomi utente non sono informazioni sensibili , anche se ci sono ancora buoni motivi per non per trasmettere tutti i nomi utente degli utenti, ad esempio tramite l'enumerazione del nome utente, se è possibile evitarlo (forzatura bruteforcing o phishing).

Tuttavia, nel caso di completamento automatico, un utente malintenzionato non può raccogliere tutti o anche una grande quantità di nomi utente, ma solo i nomi utente in cui hanno accesso fisico al computer o se esiste una vulnerabilità XSS.

L'unico effetto negativo potrebbe essere la violazione della privacy tramite nomi utente o indirizzi email trapelati (se utilizzati al posto di nomi utente). Ma se un utente è preoccupato per la privacy su un computer condiviso, dovrebbe utilizzare la navigazione privata.

Per questo motivo, è molto difficile sostenere che vi è anche un leggero vantaggio per la sicurezza del completamento automatico per i nomi utente. Esiste tuttavia un reale impatto sull'usabilità, quindi consiglierei di non farlo.

    
risposta data 12.09.2016 - 20:21
fonte

Leggi altre domande sui tag