Domanda:
I siti web dovrebbero essere autorizzati a disabilitare il completamento automatico su moduli o campi?
Manishearth
2014-01-25 15:20:09 UTC
view on stackexchange narkive permalink

Attualmente, esiste un attributo form / input HTML chiamato autocomplete , che, se impostato su off , disabilita il completamento automatico / compilazione automatica per quel modulo o elemento.

Alcune banche sembrano utilizzarlo per impedire il funzionamento dei gestori di password. In questi giorni siti come Yahoo Mail sembrano farlo anche perché ritengono che i gestori di password non siano sicuri.

Qualche settimana fa ho implementato una funzionalità in Firefox che offre all'utente una opzione per sovrascrivere questa opzione per solo campi nome utente / password (ad esempio per disabilitare il gestore delle password). Ora c'è una richiesta che chiede di sovrascrivere autocomplete = off per impostazione predefinita. Citando il problema:

Questo comportamento è una concessione ai siti che pensano che i gestori di password siano dannosi e quindi vogliono impedire che siano efficaci. Complessivamente, penso che questi siti siano generalmente sbagliati e non dovrebbero avere molto controllo sul nostro comportamento.

Questo ha senso per me, per ragioni simili a quelle in questo commento di BenB.

autocomplete = off è stato abusato molto recentemente. Yahoo ha iniziato a usarlo per il proprio login (inclusi webmail e my.yahoo.com), motivo per cui ho smesso di usare Yahoo. Le app webmail - anche alcuni provider più grandi - ora lo usano, il che decisamente non era lo scopo. Gli amministratori sono molto ipocriti e insistono sul fatto di tenerlo "per sicurezza" perché il salvataggio della password "non è sicuro".

Sono fuorvianti, perché

  • logger da tastiera esistono e sono diffusi, probabilmente più diffusi del malware in grado di leggere l'archivio password di Firefox.
  • esistono anche semplici attacchi da parte del nipotino: basta guardarsi alle spalle
  • forse la cosa più importante, forzando gli utenti a reinserire la password ogni volta praticamente li costringono a utilizzare una password semplice: facile da ricordare, facile da digitare, probabilmente utilizzata anche su più siti web. Questo ovviamente si abbassa sicurezza generale in modo drammatico e quindi rappresenta un pericolo per la sicurezza.

Quindi, autocomplete = off è attivamente dannoso per la sicurezza.

E un enorme problema per gli utenti finali, senza un ricorrere a loro oltre a interrompere le intere relazioni con i clienti.

Ci sono state molte soluzioni alternative (solitamente basate su bookmarklet) che sono state pubblicate su Internet. IE11 ha già rimosso il supporto per autocomplete = off .

La domanda è duplice:

  • C'è qualcosa di significativo aumento della sicurezza per un sito web quando utilizza autocomplete = off nei campi della password? O è effettivamente dannoso per la sicurezza come da commento di BenB?
  • I browser dovrebbero consentire questo attributo per impostazione predefinita e dare così tanto controllo al sito web? (Questa parte è soggettiva, sentiti libero di non rispondere)

Anche se la mia situazione è specifica per autocomplete = off per i campi nome utente / password (il codice riguarda solo il gestore di password), accolgo con favore l'input sull'aspetto più ampio della disabilitazione di autocomplete=off

Che opzione terribile, terribile. BenB è completamente fuori base. Come ha detto Lucas, autocomplete = off non ha nulla a che fare con il fatto che i gestori di password siano "sicuri" o meno. Un caso che non ha menzionato è l'iniezione DOM / XSS, che può e ha (MySpace è un esempio, IIRC) è stato utilizzato per trarre vantaggio da una convalida dell'input inadeguata per aggiungere un modulo di accesso nascosto illecito a pagine arbitrarie in un'applicazione per rubare il credenziali degli utenti che utilizzano il completamento automatico del modulo per l'archiviazione delle credenziali.
Questa domanda riguarda il gestore delle password, non il completamento automatico dei campi del modulo (nonostante il titolo sbagliato della domanda). Il gestore di password memorizza solo dopo la conferma dell'utente, mai automaticamente. Ha anche un archivio separato dal completamento automatico del campo del modulo: in effetti, è un'implementazione completamente diversa in Firefox. Pertanto, gli scenari menzionati di memorizzazione inconsapevole delle password negli Internet cafè non esistono con i campi delle password.
@user37982 Non è corretto. Nella domanda si presume che il motivo potrebbe essere quello di impedire il funzionamento dei gestori di password, e quindi la domanda vaga in quella direzione, ma questo è un cattivo presupposto per cominciare.
@Xander vero, anche se tieni presente che i bug in questione riguardano _solo_ il caso della password. Sono più interessato all'impatto sulla sicurezza non consentendola per i campi della password, tuttavia non mi dispiacciono i commenti sugli altri usi.
Solo per tua informazione, dal mio campo, stiamo vedendo che le domande relative alla sicurezza / MFA sono praticamente inutili ora. Quando un utente compila le domande di sicurezza e deve utilizzarle, le informazioni vengono ora salvate. Quindi tutto ciò che una persona deve fare ora è controllare il completamento automatico. Ancora non capisco perché Chrome e Firefox vorrebbero sovrascrivere ciò su cui un sito web imposta un campo.
Guarda attentamente la domanda, "autocomplete = off" è stato disabilitato solo per i campi password. Questo è vero per tutti e tre i browser. Non dovresti riscontrare alcun problema con le domande di sicurezza qui, usano campi di input di testo e non dovrebbero essere influenzati da nessuna delle patch.
@Manishearth Immagino che il problema risieda nel punto in cui i siti utilizzano campi di tipo password per segreti secondari. Ho visto questo comportamento in alcuni casi ...
@RоryMcCune in tal caso, non utilizzare i campi della password :) Inoltre, in quel caso verrà comunque richiesto di salvare la password che non lo è.
@Manishearth sicuramente in un mondo ideale, ma la realtà è che i siti lo fanno per tutti i tipi, ne avevo uno oggi per date di scadenza delle carte di debito e numeri CVV ..
Un problema con l'attuale implementazione in Chrome: utilizzerà sempre la compilazione automatica se l'attributo segnaposto contiene la parola Email. Anche se il sito Web richiede semanticamente l'email di qualcun altro. A causa di ciò c'è stata molta confusione tra gli utenti sul nostro sito.
Cinque risposte:
tylerl
2014-02-20 07:39:10 UTC
view on stackexchange narkive permalink

Il problema è che questa impostazione controlla simultaneamente il comportamento di due funzioni simili ma sufficientemente dissimili nel browser in modo tale che un risultato ottimale sia difficile da ottenere.

Innanzitutto, abbiamo quello che potresti chiamare " completamento automatico intelligente "o" ingenuo "o" automatico ".

Questa è la tecnologia di completamento automatico originale . Mentre compili i moduli su vari siti, il browser controlla i nomi dei moduli e dei contenuti che compili e ricorda silenziosamente i dettagli. Quindi, quando visiti un altro sito con un modulo dall'aspetto simile, riempie "utilmente" i campi utilizzando i valori recuperati dal tuo comportamento precedente su altri siti.

L'idea qui è di farti risparmiare tempo senza configurazione o processo decisionale da parte vostra. Compilando il tuo nome? Inseriremo automaticamente il nome che hai usato l'ultima volta. Compilare una carta di credito? Inseriremo la carta di credito che hai usato altrove.

Nel suo zelo per essere utile, il browser condivide i tuoi segreti da un sito con tutti gli altri, nel caso sia quello che volevi. Dal punto di vista della sicurezza, questo è un disastro per tutte le ragioni ovvie e anche per molte altre non ovvie. Deve essere disabilitato, e probabilmente non avrebbe mai dovuto essere implementato all'inizio.

Secondo, abbiamo il completamento automatico "esplicito" o "sicuro" o "configurato"

Questo è il mondo, principalmente, dei nomi utente e delle password salvati. In questa incarnazione, il browser salva i dati del modulo solo con la tua esplicita approvazione. Idealmente, archivia i dati in un archivio crittografato e, soprattutto, i dati sono saldamente associati a un singolo sito. Quindi la tua password di Facebook rimane con Facebook e il tuo indirizzo Amazon rimane con Amazon.

Questa tecnica è molto diversa in quanto il browser riproduce il comportamento salvato quando viene rilevato l'ambiente corrispondente. In confronto, l'altra tecnica è anticipare il comportamento desiderato automaticamente cercando somiglianze.

Quando visiti il ​​sito e presenta un modulo di accesso, il tuo browser dovrebbe compilare automaticamente i dati che avevi salvato esplicitamente a tale scopo. L'interazione dovrebbe essere rapida e spensierata per l'utente. E, in modo critico , dovrebbe assolutamente ROTTURA in un tentativo di phishing. Il browser dovrebbe essere così completamente riluttante a fornire credenziali a un sito di phishing in modo tale da farla fermare e pensare al perché la cosa non funziona.

Questa funzione è la tua linea di difesa primaria contro il phishing. Deve funzionare. Sei inevitabilmente meno sicuro se l'utente non può fare affidamento sul fatto che questa funzione funzioni in modo trasparente e senza sforzo in condizioni normali.

E sebbene sia utilizzato principalmente per l'archiviazione delle credenziali, è anche un luogo sicuro in cui inserire anche altri dati protetti, come carte di pagamento, indirizzo, domande di sicurezza e così via. Tali dati aggiuntivi probabilmente non saranno specifici del sito, ma probabilmente non dovrebbero essere compilati automaticamente senza chiedere conferma.

Un'opzione per regolarli tutti

Il problema qui è che in molte implementazioni, l'opzione autocomplete = false controlla entrambi i comportamenti. Sia quello che vuoi mantenere sia quello che vuoi uccidere.

Idealmente, il completamento automatico "sicuro" non dovrebbe mai essere disabilitato. Ci affidiamo a questa funzione per aumentare la sicurezza, quindi gli operatori di siti fuorviati non dovrebbero essere autorizzati a metterlo a repentaglio.

E idealmente, il completamento automatico "automatico" dovrebbe essere disabilitato per impostazione predefinita, per essere abilitato solo per quelle rare condizioni (se presenti) in cui desideri che il browser riutilizzi il tuo input da altri siti.

Attualmente sto lottando con il problema di impedire l'attivazione della compilazione automatica di nome utente / password quando un amministratore va a modificare l'account di un altro utente. È vero che `autocomplete =" off "` ha perso molto del suo significato, ma ci deve essere un modo per designare che una pagina non è un form di login.
@Brilliand Se al browser non sembra un campo di login, allora non presume che sia un campo di login.
"Sembra un campo di accesso" è purtroppo una misura abbastanza ampia: una combinazione di campi nome utente / password come parte di un modulo (grande) per la modifica delle impostazioni di un altro utente sembra corrispondere a quella euristica su ogni browser che ho provato. Firefox rispetta "autocomplete =" off "", ma l'unico modo che ho trovato per far sì che Chrome consideri un campo password come non parte di un modulo di accesso è aggiungere un secondo campo password allo stesso modulo.
@Brilliand Hai provato a dare un nome non standard a questi campi? di solito un browser giudica in base ai metadati, come i nomi dei campi e le proprietà.
@NateKerkhofs Sì, ho provato nomi non standard. In questo caso, il browser sembra giudicare in base a "type =" password "`. (In realtà ho trovato una soluzione alternativa a questo punto: ho inserito un campo password fittizio nascosto all'inizio del modulo per confondere il browser.)
Ho un modulo in cui l'utente inserisce un dato in un unico input di testo e conferma utilizzando la propria password che la modifica deve essere eseguita. Purtroppo chorme pensa che sia una combinazione nome utente / password e riempie automaticamente il modulo con l'email e la password. Niente di quello che ho fatto ha funzionato. Alla fine sono passato al testo. Il mascheramento della password fa comunque schifo.
@tylerl, E il problema con i browser che salvano inavvertitamente le password degli utenti nei negozi? L'utente tipico non se ne accorgerà finché non effettuerà il secondo accesso. Inoltre, l'utente tipico non sa come armeggiare con le impostazioni per rimuovere la password salvata.
@Pacerier I principi fondamentali di progettazione per software come i browser non si basano su casi di utilizzo insoliti come i chioschi pubblici. Per cose del genere prendi precauzioni speciali. Ad esempio, utilizza la modalità di navigazione in incognito nel tuo browser. Inoltre, dal momento che lo apri, non accedere ad account personali su un computer non attendibile. Sta cercando guai.
@tylerl, Riguardo a * "non accedere ad account personali su un computer non attendibile" *, stiamo parlando di utenti qui. Succede tutto il tempo*. E i chioschi pubblici non sono "casi d'uso rari". Esistono in molti paesi e sono ** estremamente ** comuni in alcuni (ad esempio il Giappone).
@Pacerier Il fatto che sia comune in alcuni paesi non lo rende * sicuro *. Inoltre, circa il 60% degli utenti riutilizza le password nei siti e in genere circa 1 persona su 100 utilizza la password "123456". Ma il fatto che sia popolare non lo rende una buona idea.
@tylerl, Ovviamente non è una buona idea. Il punto è che il browser ** non dovrebbe aspettarsi ** che i suoi utenti siano amministratori di sistema. Il presupposto di base di un prodotto per i laici è che i suoi utenti siano stupidi e riluttanti a pensare. L'assunto di base è di non chiedere * niente * all'utente perché quando un utente vede un popup "Sì / No", ci aspettiamo che ne selezioni uno a caso. Questi commenti sono in riferimento al tuo suggerimento * "Quando visiti il ​​sito e presenta un modulo di accesso, il tuo browser dovrebbe compilare automaticamente i dati" *. Il punto è che il browser ** non ** dovrebbe farlo per impostazione predefinita (senza modificare le impostazioni).
paj28
2014-01-27 03:13:43 UTC
view on stackexchange narkive permalink

Quando eseguo i test di penna, segnalo un problema se un campo del modulo richiede dati sensibili (ad esempio un numero di carta di credito), NON è un campo della password e NON ha il completamento automatico = disattivato.

La logica è che i browser gestiscono il completamento automatico delle password in modo abbastanza sensato: danno all'utente la possibilità di memorizzare la password e (la maggior parte) degli utenti può prendere una decisione ragionevole.

Tuttavia, per i campi non password il comportamento del completamento automatico non è desiderabile. Se consento a qualcuno di utilizzare il mio computer, va a una pagina di pagamento e-commerce e vede i dettagli della MIA carta di credito completati automaticamente: non è un problema.

Questo è un buon punto. Il caso specifico di bugzilla si concentra solo sui campi nome utente / password (non l'ho menzionato nella domanda perché volevo una serie più ampia di risposte), ma il tuo input sui campi della carta di credito ha senso ed è utile, grazie.
Cosa hai da dire sulla risposta di Lucas, che sembra dire che autocomplete = off non dovrebbe essere sovrascritto per impostazione predefinita anche per i campi della password?
@Manishearth - per l'online banking probabilmente segnalerei "il campo password consente il completamento automatico" come problema. Ma non rischierei qualcosa di più basso come un commento sul blog. sistema. Ho testato con penna molti sistemi bancari online (come altri ragazzi qui su SecSE), ma penso che tutti avessero il completamento automatico = disattivato sulla password di accesso, quindi non ho mai dovuto effettuare quella chiamata.
Ma cosa succede se la persona che usa il tuo computer sei tu? Quale è il caso la maggior parte delle volte.
@NicolasBarbulesco allora alcune persone vorrebbero che si completasse automaticamente e altre no. Come presente, il problema con il completamento automatico per i campi non password è che non offre questa granularità. Un'opzione del browser per ignorare il completamento automatico per tutti i campi non è un'idea così folle, ma dovrebbe essere nascosta in una sezione avanzata e accompagnata da un severo avvertimento.
"se lascio che qualcuno usi il mio computer" - nel momento in cui lo fai, non è un po 'tardi per lamentarsi della sicurezza? Sì, possono esserci passaggi di autorizzazione intermedi, ma in realtà, se qualcun altro si siede al TUO computer, ACCEDUTO come TU, sei finito. Il cavallo è stato trascinato in città, il fossato è attraversato, il cancello è aperto, la saracinesca è sollevata. Forse puoi nascondere i tuoi oggetti di valore nella prigione ...
+1 per l'ultima affermazione. Tuttavia il primo non mi è piaciuto. L'input di mascheramento è solo un modo sicuro per dare problemi agli utenti.
@Floris, Non hai mai permesso a un * amico * o * fratello * di toccare il tuo computer?
@Pacerier - toccare, sì. Ma non hai mai effettuato l'accesso come me. È un passaggio di sicurezza di base.
@pacerier: quanto spesso lasci che un amico / fratello tocchi il tuo computer quando anche loro non sarebbero in grado di leggere semplicemente la carta di credito fisica dal tuo portafoglio / borsa? Dato il costo estremamente basso di una carta di credito rubata e la facilità di rintracciare il colpevole, questo sembra un attacco quasi teorico.
@Floris, @ ͏ Chris Adams. Allora sembra una differenza culturale. Non lasciare che tuo fratello / amico usi il tuo computer (sì, hai effettuato l'accesso come * tu *) per quei 5 minuti in cui vogliono cercare qualcosa è semplicemente strano qui. E per quanto riguarda il "passaggio di sicurezza di base" di cui parli, in termini di sicurezza paranoica, è un "passaggio di sicurezza di base" per non dare loro alcun accesso tattile all'hardware.
Ian Boyd
2015-11-06 20:46:34 UTC
view on stackexchange narkive permalink

Il motivo per cui i browser ignorano autocomplete = off è perché alcuni siti web hanno tentato di disabilitare il completamento automatico delle password.

È sbagliato; e nel luglio 2014 Firefox è stato l'ultimo grande browser ad implementare finalmente la modifica per ignorare qualsiasi sito web che tenti di disattivare il completamento automatico delle password.

Qualsiasi il tentativo da parte di qualsiasi sito web di aggirare la preferenza del browser è sbagliato, ecco perché i browser lo ignorano. Non è noto alcun motivo per cui un sito web dovrebbe provare a disabilitare il salvataggio delle password.

  • Chrome lo ignora
  • Safari lo ignora
  • IE lo ignora it
  • Firefox lo ignora

E se fossi un fiocco di neve speciale?

Ci sono persone che portano un buon caso d'uso:

Ho un computer condiviso, in un'area pubblica, in stile chiosco. Non vogliamo che qualcuno salvi (accidentalmente o intenzionalmente) la propria password in modo che il prossimo utente possa usarla.

Ciò non viola l'affermazione:

Qualsiasi tentativo da parte di qualsiasi sito web di aggirare le preferenze del browser è sbagliato

Questo perché nel caso di un chiosco condiviso:

  • non lo è il server web che ha la politica stravagante
  • è lo user-agent client

Il browser (il computer condiviso) è quello che ha il requisito che esso non tenti di salvare le password. Il modo corretto per impedire al browser di salvare le password è configurare il browser in modo che non salvi le password. Dal momento che hai bloccato e controlli questo computer del chiosco: controlli le impostazioni. Ciò include la possibilità di salvare le password.

In Chrome e Internet Explorer, configuri queste opzioni utilizzando Criteri di gruppo (ad es. chiavi di registro).

Dall ' Elenco dei criteri di Chrome :

Compilazione automatica abilitata

Abilita Compilazione automatica

Tipo di dati: Boolean (REG_DWORD)

Posizione del registro di Windows: Software \ Policies \ Chromium \ AutoFillEnabled

Descrizione: attiva la funzione di compilazione automatica di Chromium e consente agli utenti di completare automaticamente i moduli web utilizzando informazioni memorizzate in precedenza come l'indirizzo o i dati della carta di credito. Se disattivi questa impostazione, la Compilazione automatica sarà inaccessibile agli utenti. Se abiliti questa impostazione o non imposti un valore, il riempimento automatico rimarrà sotto il controllo dell'utente. Ciò consentirà loro di configurare i profili di Compilazione automatica e di attivare o disattivare la Compilazione automatica a propria discrezione.

Si prega di dire che il tentativo di disabilitare il completamento automatico della password è sbagliato, i browser ignorano intenzionalmente chiunque chi tenta di farlo e dovrebbe smetterla di fare la cosa sbagliata. ™

Se tu vuoi che il tuo browser non completi automaticamente gli elementi, allora devi configurare il tuo browser per disattivare il completamento automatico. Nessun sito web dovrebbe imporre tale preferenza ad altri utenti.

Cosa succede se stai sviluppando un'interfaccia di amministrazione che consente a un amministratore di impostare e reimpostare le password dell'utente, ma il browser continua a compilare in modo errato questi campi con la password dell'amministratore. Ciò può causare gravi mal di testa e necessita di una soluzione alternativa.
@SimonEast Hai sicuramente un buon caso d'uso. Se puoi proporre una soluzione che a) non consente a un sito web di disabilitare il completamento automatico della password contro i desideri dell'utente, mentre b) consente a un sito web di disabilitare il completamento automatico della password quando è il desiderio dell'utente, allora tu ' essere ricco! Nel frattempo, se l'utente non desidera che le password si compilino automaticamente, deve modificare le proprie preferenze nel proprio browser.
"Nessun sito web dovrebbe imporre tale preferenza ad altri utenti." Siamo un sito web conforme a HIPAA e uno dei nostri requisiti è che i pazienti che si iscrivono ai nostri studi devono inserire manualmente il proprio nome utente / password per verificare di essere d'accordo coni termini della sperimentazione clinica a cui si stanno iscrivendo.Abbiamo sicuramente bisogno di disabilitarlo in qualche modo.
@JuanTreminio Questo è il motivo esatto per cui i browser ignorano le richieste del sito web per disabilitare il salvataggio della password.HIPAA è sbagliato.D'altro canto, puoi chiedere al tuo reparto IT di configurare le impostazioni dei criteri di gruppo sui computer del chiosco locale per disabilitare il riempimento automatico.Ma non puoi disabilitare il riempimento automatico di un utente seduto a casa.Questa è la fine.Di 'al revisore della sicurezza di inviarmi un messaggio: faremo una chat.
@IanBoyd indipendentemente dal fatto che HIPAA sia sbagliato o meno è al di fuori delle nostre mani: o implementiamo i suoi requisiti o ci mettiamo nei guai.
@JuanTreminio Quindi fai due cose.1) modifica i criteri di gruppo del browser sui computer kiosk che crei 2) non consentire a nessuno di accedere dal proprio personal computer che è al di fuori del tuo controllo fisico.
Per quanto riguarda il caso di un'interfaccia di amministrazione in cui si modifica la password di un altro utente.Perché utilizzare un campo password per nascondere tale input?Dovrai comunicare la nuova password all'utente tramite un altro mezzo, il che consentirà a chiunque si guardi alle spalle di vedere la password comunque al di fuori del modulo di amministrazione.E un amministratore non dovrebbe avere persone che si guardano alle spalle quando amministrano gli accessi degli utenti.E qualsiasi password inserita manualmente dovrebbe essere modificata dall'utente al successivo accesso.Avere un normale campo di immissione rende chiaro che non è questo il posto per inserire una password sicura e permanente.
Lucas Kauffman
2014-01-25 15:29:03 UTC
view on stackexchange narkive permalink

Ho eseguito diversi pentest per diverse banche e consigliamo sempre di disabilitare il completamento automatico. Il motivo è che la maggior parte degli utenti non utilizza un gestore di password e quindi la password viene salvata all'interno del browser da qualche parte, in testo normale (alcuni browser effettivamente crittografano le password di completamento automatico, ma è stato fatto solo di recente).

Questo è anche consigliato dalla guida OWASP testing:

La memorizzazione nella cache dei campi del modulo è presente nella maggior parte dei browser. Per i campi modulo contenenti informazioni sensibili, come i numeri di carte di credito, il completamento automatico deve essere disabilitato utilizzando l'attributo AUTOCOMPLETE = OFF che può essere utilizzato in ogni tag INPUT 1. Questa funzione fallirà la convalida rispetto alle versioni correnti delle specifiche HTML, ma ora è supportata dalla maggior parte dei browser.

Finché le informazioni sensibili sono protette, non ci sono problemi. Il problema più grande con questa impostazione è quando si utilizza un computer condiviso. Il rischio che le tue informazioni vengano memorizzate nella cache è piuttosto significativo e un bypasser meno innocente potrebbe semplicemente rubare le tue informazioni. Ricorda che la maggior parte degli utenti non è istruita come la maggior parte delle persone qui.

Ora la banca non può effettivamente verificare se stai utilizzando il tuo personal computer o uno condiviso, quindi la valutazione del rischio su questo ha ritenuto meglio disabilitare la funzione di completamento automatico.

È bello avere qualcuno che potrei chiamare un "insider" qui. Supponiamo che Firefox elimini unilateralmente questa opzione "su richiesta degli utenti", ignorando le opinioni delle banche. Credi che Firefox rischi di essere completamente bloccato dalle banche in questo caso sulla base, ad esempio, di UserAgent? (ovviamente aggirabile, ma non da utenti non tecnologici).
No per niente, come detto le versioni recenti di Firefox utilizzano una password principale.
La pagina OWASP fornisce un campo password come esempio, tuttavia il testo parla di campi carta di credito. Cosa ne pensi dell'override di autocomplete = off solo per i campi username e password?
@LucasKauffman: "alcuni browser effettivamente crittografano le password a completamento automatico, ma è stato fatto solo di recente" - quali non crittografano le password? E per il "recente" - quando è cambiato, e per quale?
@Manishearth: Per gli utenti che non utilizzano un gestore di password, aumenta il rischio se i siti a bassa sicurezza consentono il salvataggio delle password? Cioè il comportamento tipico degli utenti quando non si utilizza un gestore di password di terze parti (in particolare uno sincronizzato in rete) porta al riutilizzo delle password su più siti, consentendo agli aggressori di sfruttare un crack di un sito di bassa qualità per accedere alle informazioni bancarie sul sito Due? (Partendo dal presupposto che la maggior parte riutilizzi, soprattutto se hanno bisogno di utilizzare più computer / browser che non condividono un gestore di password.)
@Manishearth Non lo abiliterei nemmeno per i dati della carta di credito, mi piace il passaggio extra. Mi rendo conto che questo riduce l'usabilità, ma il compromesso del rischio ne vale la pena per me.
Vedo che OWASP dà consigli davvero pessimi, oltre a usare le parole sbagliate.
@LucasKauffman Qualche risposta sulla crittografia delle password come sopra?
@NicolasBarbulesco non è un cattivo consiglio di per sé, solo orribilmente obsoleto.
Lavorando per una società di servizi finanziari considerevole, una delle mie preoccupazioni non è stata sconfiggere i gestori di password di compilazione automatica - li uso io stesso e ho collaborato a pwSafe - impedisce il riempimento automatico della vecchia password in un modulo di modifica della password. In effetti, stavo attivamente cercando di annullare la compilazione automatica nel campo di immissione della vecchia password assicurandomi che la nuova generazione e il ricordo della password non sarebbero stati influenzati per i successivi due nuovi campi della password. La soluzione per trovare i campi in base a modelli di tipo è troppo ampia.
Nisse
2014-03-07 06:04:44 UTC
view on stackexchange narkive permalink

Tutti sembrano dimenticare che i computer vengono rubati quotidianamente, la maggior parte dei computer esegue Windows. Puoi modificare la password di un utente senza mai accedere a un computer Windows.

Quanti danni pensi possano essere fatto da un computer rubato con tutte le informazioni di completamento automatico salvate nel browser? E la maggior parte non ha nemmeno una password di protezione per il completamento automatico del browser, quindi non fa alcuna differenza se i dati sono crittografati o meno quando il browser inserisce i dati per tutti siti.

Già oggi le frodi su Facebook e Twitter sono comuni. Le password salvate sono una delle ragioni.

E cosa succede se un CEO salva le sue password e qualcuno gli ruba il computer? è proteggere tutti dal furto dei propri account.

IMO la sicurezza fisica del tuo computer è un tuo problema. Con l'accesso fisico si perde tutto, ad esempio si potrebbe semplicemente installare un keylogger invece di rubarlo.
1. * Alcuni * computer vengono rubati su una margherita. Questi dovrebbero avere un'adeguata protezione da passphrase. 2. Un * CEO * non è un amministratore di sistema e la violazione del suo account non dovrebbe avere alcun impatto notevole sulla sicurezza del sistema informativo.
Se l'utente non può memorizzare le password nel gestore di password (almeno crittografato) del proprio browser, le memorizzerà altrove.In un file di testo "passwords.txt" sul desktop o su un pezzo di carta sotto la tastiera ...


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...