Dopo la disconnessione, Google ricorda gli indirizzi email utilizzati di recente nel modulo di accesso in modo che l'utente debba solo inserire la password. Vedi accounts.google.com.
Quanto è sicuro? Quali fattori dovrei prendere in considerazione quando si implementa questo nei miei progetti?
How secure is it?
Se il nome utente è già pubblico, non vedo un rischio significativo. Un indirizzo email dovrebbe essere considerato informazione pubblica nella maggior parte dei casi, visto che deve essere noto a chiunque desideri usarlo.
What issues can prevent me from using the same behavior in my own project?
Innanzitutto, ritengo che nella maggior parte dei casi questa funzionalità sia delegata al browser web. La maggior parte dei browser moderni ha una funzione per ricordare i dati del modulo che l'utente può abilitare e disabilitare a sua scelta.
Se lo fai e lo implementi, dovresti essere attento a quanto siano sensibili le informazioni a minacce come un utente malintenzionato che ha accesso al client (ad esempio una macchina condivisa) o fisicamente vedendolo mentre guarda oltre la spalla degli utenti .
Queste saranno minacce minori per la maggior parte degli utenti, ma continueranno a esistere per gli utenti su dispositivi pubblici, ecc. ovviamente è necessario dare loro la possibilità di disabilitarlo ed evitare di ricordare qualsiasi cosa che possa compromettere in modo significativo il sistema se supervisionato in questo modo .
Un caso interessante in cui si potrebbe voler implementare il proprio schema "ricordami" è dove convenientemente l'utente ricorda il valore, ma sarebbe troppo rischioso lasciare che il browser degli utenti lo ricordi e visualizzarlo in chiaro testo.
In tal caso, visualizzi un valore offuscato all'utente, ma ricorda il valore vero senza visualizzarlo nell'interfaccia utente. Puoi quindi utilizzare un'opzione come autocomplete="off" o un nome di campo randomizzato per impedire al browser di ricordarlo. Questo è comunemente usato dalle banche per nomi utente e numeri di conto assegnati a caso che sono ad alto rischio di essere supervisionati ma non facili da ricordare.
Leggi altre domande sui tag authentication email passwords