I moduli completati automaticamente sono un problema di sicurezza?

Naviga le tue risposte
2

So quando compilo i moduli con indirizzo e e-mail che tenterà di completare automaticamente il resto delle informazioni. È possibile includere più campi nascosti nella pagina per ottenere maggiori informazioni con il completamento automatico di quanto sia visibile all'utente?

Un esempio di vita reale. Recentemente ho archiviato le mie tasse online che includevano il mio social e questo mi ha fatto pensare se questo. Ovviamente un sito web dovrebbe impedire il salvataggio di informazioni riservate, ma se quelle misure non fossero in atto, un altro sito dove sto semplicemente inserendo la mia e-mail segretamente completerà automaticamente più informazioni non visibili come il mio social?

    
posta Carlos Bribiescas 04.02.2015 - 01:18
fonte

3 risposte

2

Francamente, sì, c'è un problema.

Supponendo, ovviamente, che il tuo browser stia compilando automaticamente i moduli, è possibile che compilerà felicemente qualsiasi campo applicabile che vede, che tu possa vederlo o meno.

Ecco perché è importante mantenere pulito lo strumento di completamento automatico. Pacchetti come LastPass aggiungono una grande icona rossa ai campi che si completano automaticamente così che è molto ovvio quando si aggiungono dati.

    
risposta data 04.02.2015 - 01:34
fonte
1

Vedi anche questa domanda:

I siti web dovrebbero essere autorizzati a disabilita il completamento automatico su moduli o campi?

Per me uno dei problemi è come un browser potrebbe memorizzare una password. C'è stato un problema identificato con Chrome poco fa, quando era banale rivelare le password che stava memorizzando. Ci sono probabilmente anche problemi con gli altri principali browser. Se si cullano gli utenti in un falso senso di sicurezza, consentendo loro di utilizzare la funzione di completamento automatico, potrebbe incoraggiarli a comportarsi male e rendere le loro password facilmente accessibili in altri modi.

Come un'analogia, se imponi agli utenti di impostare una password complessa, così la scrivono su un post e la incollano sul loro schermo, quindi non è molto sicura. Se si consente a un utente di salvare la propria password in completamento automatico, ma in realtà il browser sta facendo un pessimo lavoro di protezione, quindi di nuovo non è molto sicuro.

    
risposta data 04.02.2015 - 11:56
fonte
0

il completamento automatico di per sé non è cross-site, dipende dalla forma, questo significa che un altro sito non può completare automaticamente le informazioni in base alle informazioni di completamento automatico di un altro sito, ma è un problema di sicurezza, perché qualcuno con accesso a il tuo computer può facilmente ottenere le tue informazioni. Questo è ovviamente a basso rischio se solo si utilizza il PC (a meno che non venga rubato), ma può essere pericoloso per computer utilizzati da più persone.

    
risposta data 04.02.2015 - 01:26
fonte

Leggi altre domande sui tag

Alla ricerca di consigli per la memorizzazione di informazioni sensibili - Rails, Postgres, https, pg_crypto, Digital Ocean Legge sul tester delle app web freelance sulla violazione dopo scansione [chiusa]