Jest kilka aspektów bezpieczeństwa aplikacji, które zależne są przede wszystkim od przeglądarki, z której korzysta użytkownik, a w mniejszym stopniu od samej aplikacji.
Nie lubię zachowań specyficznych dla przeglądarki: autocomplete
Jeden z przykładów już opisywałem tu: Bootcamp X: Document caching. Drugi przykład to kwestia autocomplete. Przykładowo IE (przynajmniej 7 lub 8) nie korzysta z autocomplete w przypadku, gdy strona została pobrana po SSL. Firefox (przynajmniej 3.5) i Chrome takich oporów nie mają...
Ale to nie wszystko. IE domyślnie ma wyłączone automatyczne uzupełnianie dla "zwykłych" pól formularzy, patrz screen:
Ciekawy jestem, czy takie ustawienia domyślne wynikają z security czy usability. Jednocześnie zapamiętywane są dane uwierzytelniające, choć przeglądarka (domyślnie) pyta przed zapamiętaniem hasła.
Patrząc na te przesłanki można powiedzieć, że IE w konfiguracji domyślnej lepiej chroni dane użytkowników przed przypadkowym zapisaniem ich w pamięci funkcji automatycznego uzupełniania pól. Super.
A teraz punkt z ASVS (punkt V2.2):
Verify that all password fields do not echo the user’s password when it is entered, and that password fields (or the forms that contain them) have autocomplete disabled.
Nie jest to zresztą jedyny punkt, w którym ta kwestia się pojawia, można wspomnieć również o punkcie V9.1:
Verify that all forms containing sensitive information have disabled client side caching, including autocomplete features.
Podkreślam: (...) or the forms that contain them (...). Czyli atrybut można ustawić dla poszczególnych pól formularza, jak również dla całego formularza, co zresztą znajduje potwierdzenie tu: Using AutoComplete in HTML Forms, nie jest to jakieś wielkie odkrycie. Problem w tym, że w IE to nie działa, a przynajmniej mnie się nie udało osiągnąć pożądanego działania. W przypadku Firefox i Chrome ustawienie atrybutu autocomplete="off" na poziomie formularza działa poprawnie.
Stosowny przykład dostępny jest pod adresami:
W przypadku włączenia w IE automatycznego uzupełniania dla formularzy, będzie on zapamiętywał i podpowiadał wartości wpisane w pole tekstowe, nawet jeśli cały formularz zostanie oznaczony atrybutem autocomplete="off", chyba, że strona zostanie pobrana po SSL.
Bądź mądry i pisz wiersze...
jakiś taki formularz ktorego nie zapamiętuje ani firefox ani IE, wiesz coś moze na ten temat?
autocomplete="off"
Swoją drogą jakie macie pomysły na obejście tego problemu? Mi przychodzi do głowy (jestem zaskoczony że o 7dmej rano cokolwiek mi przyszło do głowy) tylko losowy name/id pola w formie.
Autocomplete MOŻNA wyłączyć stosując autocomplete="off" na poziomie POLA formularza. IE najwyraźniej ma problemy z atrybutem autocomplete="off" na poziomie CAŁEGO formularza, z czym radzą sobie Firefox czy Chrome (nie chce mi się już sprawdzać, czy Opera będzie działać pod Vistą z włączonym na stałe DEP).