Frage:
Sollten Websites die automatische Vervollständigung von Formularen oder Feldern deaktivieren dürfen?
Manishearth
2014-01-25 15:20:09 UTC
view on stackexchange narkive permalink

Derzeit gibt es ein HTML-Attribut form / input mit dem Namen autocomplete , das auf off gesetzt ist , deaktiviert die automatische Vervollständigung / das automatische Ausfüllen für dieses Formular oder Element.

Einige Banken scheinen dies zu verwenden, um zu verhindern, dass Kennwortmanager funktionieren. Heutzutage scheinen Websites wie Yahoo Mail dies ebenfalls zu tun, da sie der Meinung sind, dass Kennwortmanager unsicher sind.

Vor einigen Wochen habe ich in Firefox eine -Funktion implementiert, die dem Benutzer eine Option, dies nur für Felder für Benutzername / Passwort zu überschreiben (dh den Passwort-Manager zu deaktivieren). Es gibt jetzt eine Anforderung, die Sie auffordert, autocomplete = off standardmäßig zu überschreiben. Zitieren des Problems:

Dieses Verhalten ist ein Zugeständnis an Websites, die Passwortmanager für schädlich halten und daher deren Wirksamkeit verhindern möchten. Insgesamt denke ich, dass diese Websites im Allgemeinen falsch sind und nicht so viel Kontrolle über unser Verhalten haben sollten.

Dies ist für mich aus ähnlichen Gründen sinnvoll wie die in Dieser Kommentar von BenB.

autocomplete = off wurde in letzter Zeit häufig missbraucht. Yahoo hat damit begonnen, es für die Anmeldung zu verwenden (einschließlich Webmail und my.yahoo.com), weshalb ich Yahoo nicht mehr benutze. Webmail-Apps - sogar einige größere Anbieter - verwenden sie jetzt, was definitiv nicht der Zweck war. Die Administratoren sind sehr selbstgerecht und bestehen darauf, dass dies "aus Sicherheitsgründen" beibehalten wird, da das Speichern von Passwörtern "unsicher" ist.

Sie sind fehlgeleitet, weil

  • Tastaturlogger existieren und sind weit verbreitet, wahrscheinlich weiter verbreitet als Malware, die den Firefox-Passwortspeicher lesen kann.
  • Es gibt sogar einfache Angriffe des kleinen Neffen: Schauen Sie einfach über die Schulter
  • , möglicherweise am wichtigsten, erzwingen Benutzer, die ihr Passwort jedes Mal neu eingeben müssen, müssen praktisch ein einfaches Passwort verwenden - leicht zu merken, leicht zu tippen, wahrscheinlich sogar auf mehreren Websites zu verwenden. Dies senkt offensichtlich Die allgemeine Sicherheit ist dramatisch und stellt somit eine Gefahr für die Sicherheit dar.

Autocomplete = off ist also aktiv schädlich für die Sicherheit.

Und ein massiver Schmerz für Endbenutzer ohne a Abgesehen von der Trennung ganzer Kundenbeziehungen.

Es wurden viele Problemumgehungen (normalerweise auf Lesezeichen basierend) im Internet veröffentlicht. IE11 hat die Unterstützung für autocomplete = off bereits entfernt.

Die Frage ist zweifach:

  • Gibt es eine signifikante Frage? Erhöhung der Sicherheit für eine Website, wenn autocomplete = off für Kennwortfelder verwendet wird? Oder ist es laut BenBs Kommentar tatsächlich sicherheitsschädlich?
  • Sollten Browser dieses Attribut standardmäßig zulassen und der Website so viel Kontrolle geben? (Dieses Bit ist subjektiv, Sie können es gerne nicht beantworten.)

Während meine Situation spezifisch für autocomplete = off für Felder mit Benutzername / Passwort ist (der Code wirkt sich nur auf die aus Passwort-Manager), ich begrüße Eingaben zum umfassenderen Aspekt der Deaktivierung von autocomplete=off

Was für eine schreckliche, schreckliche Option. BenB ist völlig off-base. Wie Lucas erwähnt hat, hat Autocomplete = Off nichts damit zu tun, ob Passwortmanager "sicher" sind oder nicht. Ein Fall, den er nicht erwähnte, ist DOM Injection / XSS, das verwendet werden kann und wurde (MySpace ist ein Beispiel, IIRC), um die unzureichende Eingabevalidierung auszunutzen und beliebigen Seiten in einer Anwendung ein illegales verstecktes Anmeldeformular hinzuzufügen, um das zu stehlen Anmeldeinformationen von Benutzern, die das automatische Ausfüllen des Formulars für die Speicherung von Anmeldeinformationen verwenden.
Bei dieser Frage handelt es sich um den Kennwortmanager und nicht um die automatische Vervollständigung der Formularfelder (trotz des falschen Titels der Frage). Der Passwort-Manager speichert nur nach Bestätigung durch den Benutzer, niemals automatisch. Es gibt auch einen Speicher, der vom automatischen Vervollständigen des Formularfelds getrennt ist. Tatsächlich handelt es sich um eine völlig andere Implementierung in Firefox. Daher existieren die genannten Szenarien zum unwissentlichen Speichern von Passwörtern in Internetcafés nicht mit Passwortfeldern.
@user37982 Das ist nicht richtig. Es gibt eine Annahme in der Frage, dass der Grund darin bestehen könnte, die Arbeit von Passwort-Managern zu verhindern, und dann wandert die Frage in diese Richtung, aber das ist zunächst eine schlechte Annahme.
@Xander true, beachten Sie jedoch, dass es sich bei den fraglichen Fehlern nur um den Kennwortfall handelt. Ich bin mehr an den Auswirkungen auf die Sicherheit interessiert, indem ich sie für Kennwortfelder verbiete, aber es macht mir nichts aus, Kommentare zu den anderen Verwendungszwecken abzugeben.
Nur zu Ihrer Information, aus meinem Bereich sehen wir, dass sicherheitsrelevante Fragen / MFA jetzt im Grunde genommen unbrauchbar werden. Wenn ein Benutzer seine Sicherheitsfragen ausfüllt und diese verwenden muss, werden die Informationen jetzt gespeichert. Jetzt muss eine Person nur noch die automatische Vervollständigung überprüfen. Ich verstehe wirklich immer noch nicht, warum Chrome und Firefox überschreiben möchten, auf was eine Website ein Feld setzt.
Schauen Sie sich die Frage genau an: "Autocomplete = off" wurde nur für Kennwortfelder deaktiviert. Dies gilt für alle drei Browser. Sie sollten hier keine Probleme mit Sicherheitsfragen sehen, sie verwenden Texteingabefelder und sollten von keinem der Patches betroffen sein.
@Manishearth Ich würde vermuten, dass das Problem darin liegt, dass Websites Kennworttypenfelder für sekundäre Geheimnisse verwenden. Ich habe dieses Verhalten in einigen Fällen gesehen ...
@RоryMcCune verwenden Sie in diesem Fall keine Kennwortfelder :) In diesem Fall werden sie auch weiterhin aufgefordert, das Kennwort zu speichern, das nicht vorhanden ist.
@Manishearth sicher in einer idealen Welt, aber die Realität ist, dass Websites dies für alle Arten tun, ich ließ es heute für Ablaufdaten von Debitkarten und CVV-Nummern tun.
Ein Problem bei der aktuellen Implementierung in Chrome: Die automatische Ausfüllung wird immer verwendet, wenn das Platzhalterattribut das Wort "E-Mail" enthält. Auch wenn die Website semantisch nach der E-Mail eines anderen fragt. Aufgrund dessen gab es auf unserer Website viel Verwirrung bei den Benutzern.
Fünf antworten:
tylerl
2014-02-20 07:39:10 UTC
view on stackexchange narkive permalink

Das Problem ist, dass diese eine Einstellung gleichzeitig das Verhalten von zwei ähnlichen, aber ausreichend unterschiedlichen Funktionen im Browser steuert, sodass es schwierig ist, ein optimales Ergebnis zu erzielen.

Erstens haben wir das, was Sie nennen könnten. " intelligente "oder" naive "oder" automatische "automatische Vervollständigung.

Dies ist die ursprüngliche automatische Vervollständigungstechnologie. Während Sie Formulare auf verschiedenen Websites ausfüllen, überwacht der Browser die Namen der Formulare und den Inhalt, den Sie ausfüllen, und speichert die Details stillschweigend. Wenn Sie dann eine andere Site mit einem ähnlich aussehenden Formular besuchen, werden Felder "hilfreich" ausgefüllt, wobei die Werte verwendet werden, die aus Ihrem vorherigen Verhalten auf anderen Sites stammen.

Hier geht es darum, Ihnen Zeit ohne zu sparen Konfiguration oder Entscheidungsfindung von Ihrer Seite. Geben Sie Ihren Namen ein? Wir geben automatisch den Namen ein, den Sie zuletzt verwendet haben. Kreditkarte ausfüllen? Wir füllen die Kreditkarte aus, die Sie an anderer Stelle verwendet haben.

In seinem Eifer, hilfreich zu sein, teilt der Browser Ihre Geheimnisse von einer Website mit allen anderen, nur für den Fall, dass es das ist, was Sie wollten. Aus Sicherheitsgründen ist dies aus allen offensichtlichen und auch aus mehreren nicht offensichtlichen Gründen eine Katastrophe. Es muss deaktiviert sein und sollte wahrscheinlich nie implementiert werden.

Zweitens haben wir "explizite" oder "sichere" oder "konfigurierte" automatische Vervollständigung

Dies ist in erster Linie die Welt der gespeicherten Benutzernamen und Passwörter. In dieser Inkarnation speichert der Browser Ihre Formulardaten nur mit Ihrer ausdrücklichen Zustimmung. Im Idealfall werden diese Daten in einem verschlüsselten Speicher gespeichert, und am kritischsten ist, dass die Daten fest mit einer einzelnen Site verknüpft sind. Ihr Facebook-Passwort bleibt also bei Facebook und Ihre Amazon-Adresse bleibt bei Amazon.

Diese Technik unterscheidet sich erheblich darin, dass der Browser das gespeicherte Verhalten wiedergibt, wenn die übereinstimmende Umgebung erkannt wird. Im Vergleich dazu antizipiert die andere Technik das gewünschte Verhalten automatisch, indem nach Ähnlichkeiten gesucht wird

Wenn Sie die Site besuchen und ein Anmeldeformular angezeigt wird, sollte Ihr Browser die Daten, die Sie explizit zu diesem Zweck gespeichert haben, automatisch automatisch ausfüllen. Die Interaktion sollte für den Benutzer schnell und gedankenlos sein. Und kritisch sollte bei einem Phishing-Versuch unbedingt BRECHEN. Der Browser sollte so völlig unwillig sein, Anmeldeinformationen an eine Phishing-Site zu senden, dass sie anhält und darüber nachdenkt, warum das Ding nicht funktioniert.

Diese Funktion ist Ihre primäre Verteidigungslinie gegen Phishing. Es muss funktionieren. Sie sind unvermeidlich weniger sicher, wenn sich der Benutzer nicht darauf verlassen kann, dass diese Funktion unter normalen Bedingungen transparent und mühelos funktioniert.

Und während dies hauptsächlich für die Speicherung von Anmeldeinformationen verwendet wird, ist es auch eine sicherer Ort, an dem auch andere sichere Daten wie Zahlungskarten, Adressen, Sicherheitsfragen usw. abgelegt werden können. Solche zusätzlichen Daten sind wahrscheinlich nicht ortsspezifisch, sollten jedoch wahrscheinlich nicht ohne Aufforderung automatisch ausgefüllt werden.

Eine Option, um alle zu regieren

Das Problem hierbei ist, dass in vielen Implementierungen die Option autocomplete = false beide Verhaltensweisen steuert. Sowohl die, die Sie behalten möchten, als auch die, die Sie töten möchten.

Im Idealfall sollte die "sichere" automatische Vervollständigung niemals deaktiviert werden. Wir verlassen uns auf diese Funktion, um die Sicherheit zu erhöhen. Daher sollten fehlgeleitete Site-Betreiber dies nicht gefährden dürfen.

Im Idealfall sollte die automatische automatische Vervollständigung standardmäßig deaktiviert sein, um nur aktiviert zu werden für die seltenen Fälle (falls vorhanden), in denen tatsächlich der Browser Ihre Eingaben von anderen Websites wiederverwenden soll.

Ich habe derzeit mit dem Problem zu kämpfen, dass die automatische Ausfüllung von Benutzername und Passwort nicht aktiviert wird, wenn ein Administrator das Konto eines anderen Benutzers ändert. Es ist wahr, dass "autocomplete =" off "" viel von seiner Bedeutung verloren hat, aber es muss eine Möglichkeit geben, zu kennzeichnen, dass eine Seite kein Anmeldeformular ist.
@Brilliand Wenn es für den Browser nicht wie ein Anmeldefeld aussieht, wird nicht davon ausgegangen, dass es sich um ein Anmeldefeld handelt.
"Sieht aus wie ein Anmeldefeld" ist leider ein ziemlich weit gefasstes Maß - eine Kombination aus Benutzername und Kennwortfeld als Teil eines (großen) Formulars zum Bearbeiten der Einstellungen eines anderen Benutzers scheint mit dieser Heuristik in jedem Browser übereinzustimmen, den ich ausprobiert habe. Firefox respektiert "autocomplete =" off "", aber die einzige Möglichkeit, Chrome dazu zu bringen, ein Kennwortfeld als nicht Teil eines Anmeldeformulars zu behandeln, besteht darin, demselben Formular ein zweites Kennwortfeld hinzuzufügen.
@Brilliand Haben Sie versucht, diesen Feldern einen nicht standardmäßigen Namen zu geben? Normalerweise beurteilt ein Browser Metadaten wie Feldnamen und Eigenschaften.
@NateKerkhofs Ja, ich habe nicht standardmäßige Namen ausprobiert. In diesem Fall scheint der Browser nach "type =" password "" zu urteilen. (Ich habe inzwischen tatsächlich eine Problemumgehung gefunden. Ich habe am Anfang des Formulars ein verstecktes Dummy-Kennwortfeld eingefügt, um den Browser zu verwirren.)
Ich habe ein Formular, in dem der Benutzer Daten in eine einzelne Texteingabe eingibt und mit seinem Passwort bestätigt, dass die Änderung vorgenommen werden soll. Leider hält chorme es für eine Kombination aus Benutzername und Passwort und füllt das Formular automatisch mit E-Mail und Passwort aus. Nichts, was ich getan habe. Ich habe endlich beide auf Text umgestellt. Die Passwortmaskierung ist sowieso scheiße.
@tylerl, Was ist mit dem Problem, dass Browser versehentlich Benutzerkennwörter in Lanshops speichern? Der typische Benutzer wird es erst bemerken, wenn er sich zum zweiten Mal anmeldet. Außerdem weiß der typische Benutzer nicht, wie er mit den Einstellungen zum Entfernen des gespeicherten Kennworts herumspielen soll.
@Pacerier Sie stützen die grundlegenden Designprinzipien für Software wie Browser nicht auf ungewöhnliche Anwendungsfälle wie öffentliche Kioske. Für solche Dinge treffen Sie besondere Vorsichtsmaßnahmen. Verwenden Sie beispielsweise den Inkognito-Modus in Ihrem Browser. Melden Sie sich auch nicht bei persönlichen Konten auf einem nicht vertrauenswürdigen Computer an, da Sie es aufrufen. Das sucht nach Ärger.
@tylerl, In Bezug auf * "Melden Sie sich nicht bei persönlichen Konten auf einem nicht vertrauenswürdigen Computer an" * sprechen wir hier über Benutzer. Es passiert ständig*. Und öffentliche Kioske sind keine "ungewöhnlichen Anwendungsfälle". Sie existieren in vielen Ländern und sind in einigen (z. B. Japan) sehr häufig.
@Pacerier Die Tatsache, dass es in einigen Ländern üblich ist, macht es nicht * sicher *. Rund 60% der Benutzer verwenden Passwörter auch standortübergreifend wieder, und in der Regel verwendet etwa 1 von 100 Personen das Passwort "123456". Aber die Tatsache, dass es beliebt ist, macht es nicht zu einer guten Idee.
@tylerl, Natürlich ist es keine gute Idee. Mein Punkt ist, dass der Browser ** nicht erwarten sollte **, dass seine Benutzer Systemadministratoren sind. Die Grundannahme eines Produkts für Laien ist, dass seine Benutzer dumm und nicht bereit sind zu denken. Die Grundannahme ist, den Benutzer * nichts * zu fragen, denn wenn ein Benutzer ein Popup "Ja / Nein" sieht, erwarten wir, dass er zufällig eines auswählt. Diese Kommentare beziehen sich auf Ihren Vorschlag * "Wenn Sie die Website besuchen und ein Anmeldeformular angezeigt wird, sollte Ihr Browser die Daten hilfreich automatisch ausfüllen" *. Der Punkt ist, dass der Browser dies standardmäßig nicht tun sollte (ohne Änderung der Einstellungen).
paj28
2014-01-27 03:13:43 UTC
view on stackexchange narkive permalink

Wenn ich Pen-Tests durchführe, melde ich ein Problem, wenn ein Formularfeld nach vertraulichen Daten (z. B. einer Kreditkartennummer) fragt, KEIN Kennwortfeld ist und KEINE automatische Vervollständigung = Aus hat.

Der Grund dafür ist, dass Browser die automatische Vervollständigung von Kennwörtern sehr vernünftig verwalten: Sie geben dem Benutzer die Möglichkeit, das Kennwort zu speichern, und (die meisten) Benutzer können eine sinnvolle Entscheidung treffen.

Für Felder ohne Kennwort Das Verhalten der automatischen Vervollständigung ist nicht wünschenswert. Wenn ich jemanden meinen Computer benutzen lasse, geht er zu einer E-Commerce-Checkout-Seite und sieht, dass MEINE Kreditkartendaten automatisch vervollständigt werden - das ist schlecht.

Das ist ein guter Punkt. Der spezielle Bugzilla-Fall konzentriert sich nur auf Benutzernamen- / Passwortfelder (ich habe dies in der Frage nicht erwähnt, weil ich eine breitere Palette von Antworten wollte), aber Ihre Eingabe in Kreditkartenfelder ist sinnvoll und nützlich, danke.
Was sagen Sie zu Lucas 'Antwort, die zu sagen scheint, dass Autocomplete = Off auch für Passwortfelder nicht standardmäßig überschrieben werden sollte?
@Manishearth - für Online-Banking würde ich wahrscheinlich "Passwortfeld ermöglicht automatische Vervollständigung" als Problem melden. Aber ich würde nicht für etwas geringeres Risiko wie einen Blog-Kommentar. System. Ich habe viele Online-Banking-Systeme mit einem Stift getestet (wie auch andere Leute hier bei SecSE), aber ich denke, sie hatten alle Autocomplete = Off für das Login-Passwort, so dass ich diesen Anruf nie tätigen musste.
Aber was ist, wenn Sie die Person sind, die Ihren Computer verwendet? Welches ist die meiste Zeit der Fall.
@NicolasBarbulesco dann würden einige Leute wollen, dass es automatisch vervollständigt wird und einige Leute würden nicht. Derzeit besteht das Problem bei der automatischen Vervollständigung von Feldern ohne Kennwort darin, dass diese Granularität nicht angeboten wird. Eine Browseroption zum Überschreiben der automatischen Vervollständigung für alle Felder ist keine so verrückte Idee, sollte jedoch in einem erweiterten Abschnitt versteckt und von einer strengen Warnung begleitet werden.
"Wenn ich jemanden meinen Computer benutzen lasse" - in dem Moment, in dem Sie das tun, ist es nicht ein bisschen spät, sich über die Sicherheit zu beschweren? Ja, es kann zwischengeschaltete Autorisierungsschritte geben - aber wirklich, wenn jemand anderes an IHREM Computer sitzt und sich wie Sie angemeldet hat, sind Sie erledigt. Das Pferd wurde in die Stadt gezogen, der Wassergraben wird gekreuzt, das Tor wird geöffnet, der Fallgitter wird angehoben. Vielleicht kannst du deine Wertsachen im Kerker verstecken ...
+1 für die letzte Anweisung. Das erste hat mir jedoch nicht gefallen. Das Maskieren von Eingaben ist nur ein sicherer Weg, um Benutzern Probleme zu bereiten.
@Floris, Sie haben noch nie einen * Freund * oder * Geschwister * Ihren Computer berühren lassen?
@Pacerier - berühren, ja. Aber nie als ich eingeloggt. Dies ist ein grundlegender Sicherheitsschritt.
@pacerier: Wie oft lässt du einen Freund / Geschwister deinen Computer berühren, wenn er auch nicht einfach die physische Kreditkarte aus deiner Brieftasche / Geldbörse lesen kann? Angesichts der extrem niedrigen Kosten einer gestohlenen Kreditkarte und der einfachen Suche nach dem Täter scheint dies ein fast theoretischer Angriff zu sein.
@Floris, @ Adams Chris Adams. Sieht dann nach einem Kulturunterschied aus. Es ist einfach seltsam, wenn Ihr Geschwister / Freund Ihren Computer (ja, als * Sie * angemeldet) für diese 5 Minuten nicht benutzt, wenn er etwas nachschlagen möchte. In Bezug auf den "grundlegenden Sicherheitsschritt", von dem Sie sprechen, ist es in Bezug auf die paranoide Sicherheit ein "grundlegender Sicherheitsschritt", ihnen keinen Touch-Zugriff auf die Hardware zu gewähren.
Ian Boyd
2015-11-06 20:46:34 UTC
view on stackexchange narkive permalink

Der Grund, warum Browser autocomplete = off ignorieren, liegt darin, dass einige Websites versucht haben, die automatische Vervollständigung von Kennwörtern zu deaktivieren.

Das ist falsch; und im Juli 2014 war Firefox der letzte große Browser, der die Änderung endgültig implementiert hat, um Websites zu ignorieren, die versuchen, die automatische Vervollständigung von Kennwörtern zu deaktivieren.

Beliebig Der Versuch einer Website, die Präferenzen des Browsers zu umgehen, ist falsch. Deshalb ignorieren Browser ihn. Es ist kein Grund bekannt, warum eine Website versuchen sollte, das Speichern von Passwörtern zu deaktivieren.

  • Chrome ignoriert es
  • Safari ignoriert es
  • IE ignoriert es
  • Firefox ignoriert es

Was ist, wenn ich eine spezielle Schneeflocke bin?

Es gibt Leute, die mitbringen einen guten Anwendungsfall:

Ich habe einen gemeinsam genutzten Computer im Kiosk-Stil im öffentlichen Bereich. Wir möchten nicht, dass jemand (versehentlich oder absichtlich) sein Passwort speichert, damit der nächste Benutzer es verwenden kann.

Dies verstößt nicht gegen die Aussage:

Jeder Versuch einer Website, die Einstellungen des Browsers zu umgehen, ist falsch.

Dies liegt daran, dass im Fall eines gemeinsam genutzten Kiosks:

  • dies nicht der Fall ist Der Webserver mit der Oddball-Richtlinie
  • ist der Client-Benutzeragent

Der Browser (der freigegebene Computer) hat die Anforderung, dass it nicht versucht, Kennwörter zu speichern. Der richtige Weg, um zu verhindern, dass der Browser Kennwörter speichert, besteht darin, den Browser so zu konfigurieren, dass keine Kennwörter gespeichert werden. Da Sie diesen Kiosk-Computer gesperrt und gesteuert haben, steuern Sie die Einstellungen. Dazu gehört die Möglichkeit, Passwörter zu speichern.

In Chrome und Internet Explorer konfigurieren Sie diese Optionen mithilfe von Gruppenrichtlinien (z. B. Registrierungsschlüsseln).

Aus der Chrome-Richtlinienliste :

AutoFillEnabled

AutoFill aktivieren

Datentyp: Boolescher Wert (REG_DWORD)

Speicherort der Windows-Registrierung: Software \ Policies \ Chromium \ AutoFillEnabled

Beschreibung: Aktiviert die AutoFill-Funktion von Chromium und ermöglicht Benutzern das automatische Ausfüllen von Webformularen unter Verwendung zuvor gespeicherter Informationen wie Adresse oder Kreditkarteninformationen. Wenn Sie diese Einstellung deaktivieren, können Benutzer nicht auf AutoFill zugreifen. Wenn Sie diese Einstellung aktivieren oder keinen Wert festlegen, bleibt AutoFill unter der Kontrolle des Benutzers. Auf diese Weise können sie AutoFill-Profile konfigurieren und AutoFill nach eigenem Ermessen ein- oder ausschalten.

Bitte geben Sie das Wort ein, dass der Versuch, die automatische Vervollständigung des Kennworts zu deaktivieren, falsch ist. Browser ignorieren absichtlich jemanden Wer versucht es, und sie sollten aufhören, das Falsche zu tun. ™

Wenn Sie möchten, dass Ihr Browser Elemente nicht automatisch vervollständigt, dann Sie sollten Ihren Browser so konfigurieren, dass die automatische Vervollständigung deaktiviert wird. Keine Website sollte diese Einstellung anderen Benutzern aufzwingen.

Was ist, wenn Sie eine Administrationsoberfläche entwickeln, mit der ein Administrator die Kennwörter des Benutzers festlegen und zurücksetzen kann, der Browser diese Felder jedoch weiterhin falsch mit dem Kennwort des Administrators ausfüllt. Das kann ernsthafte Kopfschmerzen verursachen und erfordert eine Problemumgehung.
@SimonEast Sie haben sicherlich den guten Anwendungsfall. Wenn Sie eine Lösung vorschlagen können, die a) einer Website nicht erlaubt, die automatische Vervollständigung von Passwörtern gegen den Willen des Benutzers zu deaktivieren, während b) einer Website erlaubt, die automatische Vervollständigung von Passwörtern zu deaktivieren, wenn dies vom Benutzer gewünscht wird, dann ' wäre reich! Wenn der Benutzer nicht möchte, dass Kennwörter automatisch ausgefüllt werden, muss er in der Zwischenzeit seine Einstellungen in seinem Browser ändern.
"Keine Website sollte diese Präferenz anderen Benutzern aufzwingen." Wir sind eine HIPAA-konforme Website und eine unserer Anforderungen ist, dass Patienten, die sich für unsere Studien anmelden, ihren Benutzernamen / ihr Passwort manuell eingeben müssen, um zu überprüfen, ob sie damit einverstanden sinddie Bedingungen der klinischen Studie, für die sie sich anmelden.Wir müssen das definitiv irgendwie deaktivieren.
@JuanTreminio Genau aus diesem Grund ignorieren Browser Website-Anforderungen, um das Speichern von Passwörtern zu deaktivieren.HIPAA ist falsch.Auf der anderen Seite kann Ihre IT-Abteilung die Gruppenrichtlinieneinstellungen auf den Kioskcomputern in Ihren Räumlichkeiten konfigurieren, um das automatische Ausfüllen zu deaktivieren.Sie dürfen jedoch das automatische Ausfüllen eines zu Hause sitzenden Benutzers nicht deaktivieren.Das ist das Ende.Sagen Sie dem Sicherheitsprüfer, er soll mir eine Nachricht senden - wir unterhalten uns.
@IanBoyd, ob HIPAA falsch ist oder nicht, liegt außerhalb unserer Hände - wir setzen entweder seine Anforderungen um oder bringen uns in Schwierigkeiten.
@JuanTreminio Dann machen Sie zwei Dinge.1) Ändern Sie die Browsergruppenrichtlinie auf den von Ihnen erstellten Kioskcomputern. 2) Lassen Sie niemanden von seinem eigenen PC aus zugreifen, der außerhalb Ihrer physischen Kontrolle liegt.
In Bezug auf eine Administrationsoberfläche, in der Sie das Passwort eines anderen Benutzers ändern.Warum ein Passwortfeld verwenden, um diese Eingabe auszublenden?Sie müssen dem Benutzer dieses neue Passwort über ein anderes Medium mitteilen, damit jede Person, die über die Schulter schaut, das Passwort ohnehin außerhalb des Administrationsformulars sehen kann.Und ein Administrator sollte bei der Verwaltung von Benutzeranmeldungen nicht über die Schulter schauen.Jedes manuell eingegebene Passwort sollte vom Benutzer bei der nächsten Anmeldung geändert werden.Ein normales Eingabefeld macht deutlich, dass hier kein sicheres, dauerhaftes Passwort eingegeben werden kann.
Lucas Kauffman
2014-01-25 15:29:03 UTC
view on stackexchange narkive permalink

Ich habe mehrere Pentests für mehrere Banken durchgeführt und wir empfehlen immer, die automatische Vervollständigung zu deaktivieren. Der Grund dafür ist, dass die meisten Benutzer keinen Passwort-Manager verwenden und das Passwort daher in Ihrem Browser irgendwo im Klartext gespeichert wird (einige Browser verschlüsseln die Passwörter für die automatische Vervollständigung tatsächlich, dies wurde jedoch erst kürzlich durchgeführt).

Dies wird auch im OWASP-Testhandbuch empfohlen:

Das Zwischenspeichern von Formularfeldern ist in den meisten Browsern vorhanden. Bei Formularfeldern mit vertraulichen Informationen wie Kreditkartennummern sollte die automatische Vervollständigung mit dem Attribut AUTOCOMPLETE = OFF deaktiviert werden, das in jedem INPUT-Tag 1 verwendet werden kann. Diese Funktion schlägt bei aktuellen Versionen von HTML-Spezifikationen fehl. Sie wird jetzt jedoch von den meisten Browsern unterstützt.

Solange die vertraulichen Informationen geschützt sind, gibt es kein Problem. Das größte Problem bei dieser Einstellung ist die Verwendung eines gemeinsam genutzten Computers. Das Risiko, dass Ihre Informationen zwischengespeichert werden, ist sehr hoch und ein weniger unschuldiger Passant könnte Ihre Informationen einfach stehlen. Denken Sie daran, dass die meisten Benutzer nicht so gut ausgebildet sind wie die meisten Leute hier.

Jetzt kann die Bank nicht mehr überprüfen, ob Sie Ihren PC oder einen gemeinsam genutzten verwenden, daher die Risikobewertung auf Aus diesem Grund ist es besser, die Funktion zur automatischen Vervollständigung zu deaktivieren.

Schön, jemanden zu haben, den ich hier als "Insider" bezeichnen könnte. Angenommen, Firefox würde diese Option "auf vielfachen Wunsch der Benutzer" einseitig wegwerfen und die Meinungen der Banken ignorieren. Gehen Sie davon aus, dass Firefox in diesem Fall möglicherweise von Banken blockiert wird, beispielsweise basierend auf UserAgent? (offensichtlich umgehbar, aber nicht von Nicht-Tech-Anwendern).
Nein, überhaupt nicht, da die neuesten Versionen von Firefox ein Hauptkennwort verwenden.
Die OWASP-Seite enthält als Beispiel ein Kennwortfeld, der Text spricht jedoch von Kreditkartenfeldern. Was halten Sie davon, Autocomplete = off nur für Felder mit Benutzername und Passwort zu überschreiben?
@LucasKauffman: "Einige Browser verschlüsseln die Passwörter für die automatische Vervollständigung tatsächlich, aber das wurde erst kürzlich getan" - welche verschlüsseln keine Passwörter? Und laut "vor kurzem" - wann hat sich das geändert und für welche?
@Manishearth: Erhöht sich für Benutzer, die keinen Kennwortmanager verwenden, das Risiko, wenn auf Websites mit geringer Sicherheit Kennwörter gespeichert werden können? Das heißt, Führt das typische Benutzerverhalten, wenn kein Kennwortmanager eines Drittanbieters (insbesondere ein netzwerksynchronisierter) verwendet wird, zur Wiederverwendung von Kennwörtern auf mehreren Sites, sodass Angreifer einen Crack von Site 1 mit niedriger Sek. nutzen können, um auf Bankinformationen vor Ort zuzugreifen zwei? (Unter der Annahme, dass die meisten wiederverwendet werden, insbesondere wenn mehrere Computer / Browser verwendet werden müssen, die keinen Kennwortmanager gemeinsam nutzen.)
@Manishearth Ich würde es auch nicht für Kreditkarteninformationen aktivieren, ich mag den zusätzlichen Schritt. Mir ist klar, dass dies die Benutzerfreundlichkeit verringert, aber der Risiko-Kompromiss macht es für mich wert.
Ich sehe, dass die OWASP wirklich schlechte Ratschläge gibt - zusätzlich zu den falschen Worten.
@LucasKauffman Irgendwelche Antworten zur Passwortverschlüsselung wie oben?
@NicolasBarbulesco kein schlechter Rat an sich, nur schrecklich veraltet.
Bei meiner Arbeit für ein beträchtliches Finanzdienstleistungsunternehmen war es eines meiner Anliegen, das automatische Ausfüllen von Passwort-Managern nicht zu besiegen. Ich verwende sie selbst und habe einen Beitrag zu pwSafe geleistet. Es verhindert das automatische Ausfüllen des alten Passworts in einem Passwortänderungsformular. Tatsächlich habe ich aktiv versucht, das automatische Ausfüllen des alten Passworteingabefelds zu verhindern, während sichergestellt wurde, dass die Generierung und das Speichern neuer Passwörter für die folgenden zwei neuen Passwortfelder nicht beeinflusst werden. Die Lösung zum Auffinden von Feldern basierend auf Typmustern ist zu breit gestrichen.
Nisse
2014-03-07 06:04:44 UTC
view on stackexchange narkive permalink

Jeder scheint zu vergessen, dass Computer täglich gestohlen werden. Auf den meisten Computern wird Windows ausgeführt. Sie können das Kennwort eines Benutzers ändern, ohne sich jemals an einem Windows-Computer anzumelden.

Wie viel Schaden kann Ihrer Meinung nach entstehen? Dies geschieht durch einen gestohlenen Computer, bei dem alle Informationen zur automatischen Vervollständigung im Browser gespeichert sind. Die meisten haben nicht einmal einen Kennwortschutz für die automatische Vervollständigung des Browsers, sodass es keinen Unterschied macht, ob die Daten verschlüsselt sind oder nicht, wenn der Browser die Daten für alle ausfüllt Websites.

Bereits heute sind Betrugsfälle auf Facebook und Twitter weit verbreitet. Gespeicherte Passwörter sind ein Grund dafür.

Und was passiert, wenn ein CEO seine Passwörter speichert und jemand seinen Computer stiehlt? Diese Funktion schützt alle vor der Entführung ihrer Konten.

IMO ist die physische Sicherheit Ihres Computers Ihr eigenes Problem. Beim physischen Zugriff geht alles verloren, zum Beispiel könnte man einfach einen Keylogger installieren, anstatt ihn zu stehlen.
1. * Einige * Computer werden auf einem Gänseblümchen gestohlen. Diese sollten einen angemessenen Passphrasenschutz haben. 2. Ein * CEO * ist kein Systemadministrator und ein Einbruch in sein Konto sollte keine nennenswerten Sicherheitsauswirkungen für das Informationssystem haben.
Wenn der Benutzer keine Passwörter im (zumindest verschlüsselten) Passwort-Manager seines Browsers speichern kann, speichert er diese an einem anderen Ort.In einer Textdatei "passwords.txt" auf dem Desktop oder auf einem Blatt Papier unter der Tastatur ...


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...