l'applicazione web può disabilitare la funzionalità di memorizzazione del gestore di password del browser per tale applicazione?

0

C'è qualcosa che un codice sito Web fa per impedire a qualsiasi browser di ricordare la tua password? Sono consapevole che dalle opzioni del browser, gli utenti possono modificare le impostazioni per chiedere di ricordare o meno la password. Ma il sito web può avere un codice che disabilita questa funzione in modo tale che quando visiti la pagina di accesso al sito web e accedi, qualunque impostazione possa avere il tuo browser non chiederà più di ricordarlo? La mia opinione è che non si può davvero farlo dal sito web come il codice javascript lato client del sito Web. Mi chiedo se ci sia una sorta di standard là fuori che consente questa funzione.

    
posta DoodleKana 08.10.2015 - 21:43
fonte

2 risposte

5

Quindi prima un po 'di informazioni:

Completamento automatico non sta compilando il modulo di accesso, è un gestore di password. I browser moderni non avranno MAI il completamento automatico per ricordare un modulo di accesso!

I gestori di password NON sono un difetto di sicurezza o un punto di attacco. Sono un sistema non protetto / mal progettato, cattivi utenti e cattive norme.

La maggior parte dei browser in questi giorni implementa un gestore di password nel browser (NON completato automaticamente) che mantiene le cose in un luogo sicuro e protetto (per google chrome, in realtà è memorizzato nel cloud dell'account google). In google chrome, firefox e edge puoi disabilitare il gestore delle password e non influirà sul completamento automatico. Ciò è dovuto al completamento automatico e al gestore delle password sono due sottoprogrammi separati in esecuzione nel browser. completamento automatico = disattivato su un modulo non dice "Don "Compila un modulo", indica "Non ricordare questo modulo". Tuttavia, un browser probabilmente ancora riempirà un'area di accesso e chiederà di ricordarlo perché i gestori di password sono non viene completato automaticamente e, quindi, ignorato questo. Se il gestore password è disattivato e si accede a una pagina di accesso, non verrà automaticamente compilato il modulo anche se il completamento automatico è attivato. Questo è dovuto al modo in cui la maggior parte dei browser moderni implementa il completamento automatico e i relativi gestori di password incorporati. Che cosa significa? Beh, vuol dire che tu, come sviluppatore web, NON hai CONTROLLO su un programma browser degli utenti stesso, solo sulla pagina web. Pertanto non è possibile impedire al modulo di gestione password di ricordare la password, proprio come non è possibile impedire all'utente di scrivere la password su una nota adesiva o nel fango.

Quindi cosa puoi fare per impedirlo? Niente. Questa non è una brutta cosa però. Hai solo bisogno di costruire il tuo sito web, le tue applicazioni e i tuoi servizi nel modo più sicuro possibile, in modo che se qualcosa viene compromesso, il minor danno possibile al tuo servizio.

Se un esperto di sicurezza ti dice che un gestore di password è un difetto di sicurezza, chiedi loro come gestiscono le credenziali di accesso e le chiavi private generate casualmente e regolarmente aggiornate. Quindi trova un nuovo esperto di sicurezza !!!

Detto questo, un gestore di password non è qualcosa da temere. Può essere in realtà un invio GOD per la memorizzazione di password di livello aziendale generate a caso e aggiornate di routine.

    
risposta data 08.10.2015 - 23:28
fonte
3

C'era una volta un attributo autocomplete=off sui moduli, ma questo attributo è deliberatamente ignorato nella maggior parte dei browser (Chrome, Firefox, IE) per un po ', vedi L'attributo di completamento automatico e i campi di accesso . Quindi la risposta è probabilmente che il sito Web non ha alcun controllo se queste informazioni vengono salvate o meno.

    
risposta data 08.10.2015 - 21:52
fonte

Leggi altre domande sui tag