Kuinka kiertää selaimia 'tallenna salasana' ja 'salasanan automaattinen täydennys' ominaisuuksia

Kaikki ovat tuttuja selaimen "tallenna salasana" - ja automaattisen täytön ominaisuuksista, jotka tarjoavat sujuvan ja mukavan käyttökokemuksen lomakkeiden täyttämisessä ja suosikkisivustoillesi kirjautumisessa.

Mutta mitä tapahtuu, kun sinut pakotetaan poistamaan salasanan automaattinen täyttö turvallisuussyistä? Tai vielä pahempaa, entä jos sinun on estettävä selainta ehdotamasta salasanojen tallentamista? Sieltä se tulee monimutkaiseksi.

Automaattinen täydennys = pois päältä on kuollut

Joten olet etsinyt tapaa poistaa automaattisen täytön ominaisuus käytöstä HTML-muodossa, mutta huomasit, että Chrome ohittaa autocomplete = ”off” -määritteen? bummer.

Se on monia viestejä siitä ja erittäin pitkä ketju kromitiimiltä, ​​mutta lopputulos on, että ei ole sisäänrakennettua ratkaisua, jonka avulla voit poistaa tämän ominaisuuden käytöstä. Selaimen välisiä ratkaisuja ei ole, mikä on HTML-standardi.

Selitän, kuinka kiertää salasanan automaattisen täydennyksen Chromelle ja Firefoxille, mutta muistan, että se ei toimi Safarissa niin pitkälle kuin olen tarkistanut. Ajatuksena on huijata selain täyttämään väärä syöttökenttä automaattisesti.
Tiedän, se kuulostaa tyhmältä, mutta toimii kuin viehätys ja olen nähnyt suurten pankkien verkkosivustoja, jotka toteuttavat saman tempun.

Kuinka se toimii?
Oletetaan, että HTML-lomake on yksinkertainen kirjautumislomake, joka sisältää seuraavat elementit:


Tapa huijata selainta on lisätä uusi salasanan syöttökenttä heti olemassa olevan salasanakentän yläpuolelle. Tällä kertaa se piilotetaan, ja selain täyttää sen automaattisesti, jättämättä huomioon todellisen näkyvän salasanan syöttökentän.

Muista taas, että tämä ei ole selaimen välinen raja, eikä ole mitään kertoa kuinka kauan tämä kiertotapa kestää.

Tallenna salasana? ei kiitos!

Työskentely suojattujen sovellusten ja PCI DSS -sääntöjen kanssa sai minut pisteeseen, jossa minun piti poistaa selaimen tallennussalasana-ominaisuus käytöstä. Se ei ollut virallinen vaatimus, mutta osa yrittämistä poistaa automaattisen täytön ominaisuus käytöstä - jos et voi tallentaa salasanaa, selain ei voi täyttää sitä automaattisesti. Makea!

Salasanojen tallennusominaisuuden huonoin osa on, että näet tallennetut salasanat selkeänä tekstinä selaimen suojausasetuksissa (!). Chromessa sinua pyydetään antamaan Windows-käyttöoikeustiedot, mutta et Firefoxissa. Firefox kysyy vain, oletko varma, että haluat nähdä tallennetut salasanat… ontuva.

Firefoxin tallennetut kirjautumiset - voit nähdä tallennetut salasanat selkeänä tekstinä

Kuinka selain edes tietää, milloin ehdottaa tallennussalasanan ponnahdusikkunaa?
En syventynyt tutkimaan tätä, mutta tiedän, että kaikki mitä tarvitaan, on HTML-koodiin syötetyyppisalasana. Sinulla ei tarvitse edes olla -elementtiä.

Osoittautuu, että jos korvaat , selain ei enää tarjoa salasanan tallentamista. Että upea uutinen, mutta entä salasanan peittäminen? Loppujen lopuksi erityisen HTML-syötteen idea on peittää salasana niin, että kukaan ympärilläsi ei näe kirjoittamaasi.

CSS tekee ratkaisun tekstin peittämiseen.
Tässä on esimerkki siitä, mitä tarvitset peittämisen saavuttamiseksi. Tämä on testattu onnistuneesti Chromessa, Safarissa ja Firefoxissa.

syöttö {
    text-turvallisuus: levy;
    -webkit-text-turvallisuus: levy;
    -mox-text-turvallisuus: levy;
}

BTW, jotkut ihmiset ilmoittavat, että AJAX: n käyttäminen kirjautumistietojen lähettämisessä ei käynnistä salasanan tallennusominaisuutta, mutta se ei toiminut, kun testasin sitä.

Onko tämä ratkaisu turvattu tarpeeksi?
Tähän kysymykseen ei ole suoraa vastausta. Tämän ratkaisun turvallisuusvaikutuksista keskustellaan pinovirtauksessa.

Tämän viestin kirjoittamishetkellä en ole varma, että tämä kiertotapa noudattaa turvallisuusstandardeja, ja olen varma, että PCI-valvontavirkamiessi ei pidä siitä. mutta toisaalta, ei ole muuta tapaa kiertää se,

Vielä.