Brauserite parooli salvestamise ja paroolide automaatse täitmise funktsioonide ümberhoidmine

Kõik tunnevad brauseri salvestatud parooli ja automaatse täitmise funktsioone, mis pakuvad sujuvat ja mugavat kasutajakogemust vormide täitmisel ja lemmikveebisaitidele sisselogimisel.

Mis saab siis, kui olete turvakaalutlustel sunnitud parooli automaatse täitmise keelama? Või mis veelgi hullem, mis juhtuks, kui peaksite takistama brauseril paroolide salvestamise soovitusi? Siin läheb keeruliseks.

Automaatne täitmine = välja lülitatud on surnud

Niisiis, olete otsinud võimalust oma HTML-vormingus automaatse täitmise funktsiooni keelamiseks, kuid leidsite, et Chrome ignoreerib atribuuti autocomplete = ”off”? bummer.

Selle kohta on palju postitusi ja kroomimeeskonna väga pikk niit, kuid sisuline mõte on see, et pole sisseehitatud lahendust, mis võimaldaks teil selle funktsiooni keelata. Brauseriülest lahendust pole, see on HTML-standard.

Selgitan, kuidas lahendada Chrome'i ja Firefoxi parooli automaatse lõpetamise parool, kuid pidage meeles, et see ei tööta Safaril nii palju, kui olen kontrollinud. Idee on lollitada brauser vale sisestusvälja automaatseks täitmiseks.
Ma tean, see kõlab rumalalt, kuid mõjub sarmina ja ma olen näinud suuremate pankade veebisaite, kus rakendatakse sama trikki.

Kuidas see töötab?
Oletame, et teie HTML-vorm on lihtne sisselogimisvorm, mis sisaldab järgmisi elemente:


Brauseri petmise viis on lisada uus parooli sisestusväli otse olemasoleva parooli välja kohale. Seekord peidetakse see ja brauser täidab selle automaatselt, jättes parooli tegeliku nähtava sisestusvälja ignoreerides.

Pidage jälle meeles, et see ei ole brauserite rist ja kuskil pole öeldud, kui kaua see ümberarvutus kestab.

Kas parool on salvestatud? ei aitäh!

Töö turvaliste rakenduste ja PCI DSS-i reeglitega viis mind kohale, kus pidin brauseri parooli salvestamise funktsiooni keelama. See ei olnud ametlik nõue, vaid osa automaatse täitmise funktsiooni keelamisest - kui te ei saa parooli salvestada, ei saa brauser seda automaatselt täita. Magus!

Parooli salvestamise halvim osa on see, et brauseri turbesätetes (!) Näete salvestatud paroole lihttekstina. Chrome'is palutakse teil esitada Windowsi mandaadid, kuid mitte Firefoxis. Firefox küsib teilt ainult siis, kui olete kindel, et soovite salvestatud paroole näha… lame.

Firefoxi salvestatud sisselogimised - salvestatud paroole näete lihttekstina

Kuidas brauser isegi teab, millal soovitatakse salvestada parool hüpikakent?
Ma ei süvenenud selle uurimisse, kuid tean, et kõik, mis vajalik on, et HTML-is oleks sisestustüüpi parool. Teil ei pea isegi elementi olema.

Selgub, et kui asendate tekstiga sisendiga = ”tekst” />, ei paku brauser enam parooli salvestamist. See on suurepärane uudis, aga kuidas oleks salasõna maskeerimisega? Lõppude lõpuks on HTML-i spetsiaalse sisendi mõte maskeerida parool nii, et keegi teie ümber ei näeks seda, mida kirjutate.

Teksti maskeerimise lahenduse teeb CSS.
Siin on näide sellest, mida peate maskeerimise saavutamiseks. Seda testiti edukalt Chrome'is, Safaris ja Firefoxis.

sisend {
    teksti turvalisus: ketas;
    -veebikomplekt-teksti turvalisus: ketas;
    -mox-text-security: ketas;
}

BTW, teatavad mõned inimesed, et sisselogimisandmete saatmiseks AJAX ei käivitanud salasõna salvestamise funktsiooni, kuid see ei töötanud, kui ma seda testisin.

Kas see lahendus on piisavalt turvatud?
Sellele küsimusele pole otsest vastust. Selle lahenduse turvamõjusid käsitletakse ülekandmise käigus.

Selle postituse kirjutamise hetkel ei ole ma kindel, et see lahendus vastab turvastandarditele, ja olen kindel, et teie PCI täitmise eest vastutav ametnik ei meeldi. kuid teisest küljest pole muud võimalust selle vältimiseks,

Ometi.